Utilisation des fonctions avancées de la console WAPT

Cette page détaille l’utilisation avancée de la Console WAPT.

Utiliser des paquets profile dans WAPT Fonctionnalité WAPT Enterprise uniquement

Principe de fonctionnement

WAPT Enterprise propose une fonctionnalité de paquet profile Active Directory.

Le paquet profile automatise l’installation de paquets WAPT et des paquets de configuration sur les machines en fonction de leur appartenance aux groupes de sécurité informatique Active Directory.

L’Agent WAPT signalera au Serveur WAPT les groupes Active Directory auxquels la machine appartient.

Si un paquet profile a le même nom qu’un groupe Active Directory, l’agent WAPT installera automatiquement le paquet profile pour le groupe Active Directory dont l’hôte est membre.

Si la machine n’est plus membre de son groupe Active Directory, le paquet profile correspondant sera désinstallé.

Les paquets profile sont stockés dans le répertoire web https://srvwapt.mydomain.lan/wapt/.

Les paquets profile ne sont pas explicitement affectés à une machine (c’est-à-dire en tant que dépendances dans le paquet host) mais sont implicitement pris en compte par le moteur de dépendance de l’Agent WAPT lors des mises à niveau WAPT.

Note

Pour des raisons de performances, cette fonctionnalité n’est activée que si l’option use_ad_groups est activée dans le fichier de configuration wapt-get.ini de l’Agent WAPT.

Important

Les groupes de Securité Ordinateur dans Active Directory contiennent des Ordinateurs et non des Utilisateurs.

Fenêtre montrant le groupe Computers dans Active Directory

Fenêtre montrant le groupe Computers dans Active Directory

Avertissement

L’installation automatique de logiciels et de configurations en fonction de l’utilisateur et de l’appartenance à un groupe d’utilisateurs n’est pas implémentée avec WAPT et une telle implémentation n’est pas souhaitable. Le cas d’utilisation de l’installation de logiciels en fonction du profil de l’utilisateur est mieux servi par la fonction différenciée self-service qui est également disponible avec WAPT Enterprise.

Le nom du groupe DOIT être en minuscules dans Active Directory et dans la Console WAPT.

Créer des paquets WAPT de type profile dans la Console WAPT

Vous pouvez créer des paquets groupés profils en cliquant sur Faire un modèle de paquet à partir du fichier d’installation ‣ profil AD.

Créer un paquet WAPT de type *profile*

Important

Pré-requis:

  • Le nom du groupe AD profile et le paquet WAPT de type profile DOIVENT être tout en minuscules.

Exemple:

  • Groupe de Sécurité AD: hw_laptops ;

  • Paquet WAPT de type profile : HW_laptops.

Une fenêtre s’ouvre et on vous demande de choisir quels paquets doivent être contenus dans le paquet profile tout juste créé.

Ajout de paquets WAPT à un paquet *profile*

Ajout de paquets WAPT à un paquet profile

Enregistrez le paquet profil et il sera téléchargé sur le serveur WAPT.

Utiliser des Unités Organisationnelles dans WAPT Fonctionnalité WAPT Enterprise uniquement

Principe de fonctionnement

WAPT Enterprise propose la fonctionnalité de paquets d’Unité Organisationnelle.

Les paquets de type *unit* automatisent les installations de logiciels et de configurations en se basant sur l’arborescence d’Active Directory.

Les paquets de type unit ne sont pas explicitement affectés à la machine (c’est-à-dire en tant que dépendances dans le paquet hôte) mais sont implicitement pris en compte par le moteur de dépendance de l’agent WAPT lors de la mise à niveau WAPT.

Note

Si l’ordinateur est retiré d’une Unité Organisationnelle, les paquets de type unit obsolètes sont supprimés.

L’agent WAPT connait son emplacement dans l’arborescence Active Directory, il connaît donc pour cette raison la hiérarchie des Unités Organisationnelles qui le concerne, par exemple:

DC=ad,DC=mydomain,DC=lan
OU=Paris,DC=ad,DC=mydomain,DC=lan
OU=computers,OU=Paris,DC=ad,DC=mydomain,DC=lan
OU=service1,OU=computers,OU=Paris,DC=ad,DC=mydomain,DC=lan

Si un paquet de type unit est défini au niveau de chaque Unité Organisationnelle, l’Agent WAPT téléchargera automatiquement les paquets WAPT et les configurations qui sont attachés à chaque niveau. En utilisant l’héritage, WAPT appliquera les paquets WAPT et les dépendances qui sont attachés à chaque Unité Organisationnelle.

Créer des paquets d’Unité Organisationnelles dans la console WAPT

Vous pouvez créer des paquet unit en faisant clic-droit sur une OU ‣ Créer ou éditer le paquet de l’Unité Organisationnelle.

Options de menu applicables aux paquets WAPT de type *unit*

Une fenêtre s’ouvre et vous êtes invité à choisir les paquets à inclure dans le paquet de type unit.

Ajouter des paquets au paquet unit

Ajouter des paquets au paquet unit

Sauvegarder le paquet et il sera déployé sur tous les hôtes appartenant à cette OU.

Lorsque vous avez un paquet de type unit, vous verrez un cube devant le nom de l’UO dans la Console WAPT.

Unité Organisationnelle avec un jeu de règles

Les actions possibles avec les Unités Organisationnelles

Options de menu applicables aux Unités Organisationnelles
Créer ou éditer des paquets d’Unité Organisationnelles

Option de menu

Description

Créer ou éditer des paquets d’Unité Organisationnelles

Visitez cette documentation pour plus de details sur la Création ou l’Edition de paquet OU.

Vérifier les mises à jours des machines de cette OU

Permet de télécharger l’état actuel de l’hôte vers le serveur WAPT et de forcer le serveur WAPT à afficher si les hôtes de l”OU sélectionnée ont des mises à jour en attente.

Lancer l’installation des paquets pour les machines de cette OU

Vous pouvez voir dans l’image que les actions update et upgrade peuvent être effectuées via ce menu, sélectionnant ainsi les hôtes par leur Unité d’Organisation.

Indication

Vous pouvez filtrer la manière dont les hôtes sont affichés basé sur leur appartenance a des OU de l’Active Directory.

Option de menu pour inclure les machines dans les sous-dossiers

La case Inclure les postes des sous-dossiers vous permet d’afficher les hôtes des sous-dossiers.

Simuler des Unités Organisationnelles pour des hôtes en WORKGROUP

Il arrive que des hôtes spécifiques ne peuvent être joints à un domaine Active Directory.

Avec cette spécifité, de tels hôtes ne peuvent s’afficher dans les Unités Organisationnelles depuis votre console WAPT.

Pour que toutes les machines apparaissent dans la Console WAPT sous la bonne Unité Organisationnelle, qu’elles soient jointes à un domaine AD ou non, WAPT permet de spécifier une Unité Organisationnelle usurpée dans le fichier de configuration de l’Agent WAPT.

Les bénéfices de cette astuce sont:

  • Vous pouvez gérer les hôtes avec WAPT comme s’ils étaient joints à l’AD.

  • Les hôtes hors-du-domaine et en WORKGROUP s’affiche désormais dans l’arborescence AD.

  • Les paquet Unit sont utilisables sur ces hôtes.

Pour configurer une fausse Unité Organisationnelle sur les hôtes, créez un paquet WAPT vide, puis utilisez le code suivant:

# -*- coding: utf-8 -*-
from setuphelpers import *

uninstallkey = []

def install():

  print('Setting Fake Organizational Unit')
  fake_ou = "OU=REAL_AD_SUB_OU,OU=REAL_AD_OU,DC=MYDOMAIN,DC=LAN"
  inifile_writestring(WAPT.config_filename,'global','host_organizational_unit_dn',fake_ou)

  print('Reload WAPT configuration')
  WAPT.reload_config_if_updated()

def update_package():
  pass

Le host_organizational_unit_dn sera comme ci-dessous dans wapt-get.ini :

[global]
host_organizational_unit_dn=OU=REAL_AD_SUB_OU,OU=REAL_AD_OU,DC=MYDOMAIN,DC=LAN

Note

  • Tenez-vous-en à un cas spécifique avec votre host_organizational_unit_dn (ne mélangez pas les « dc « s et les « DC « s, les « ou « s et les « OU « s …).

  • Respectez la casse utilisée dans les champs DN/computer_ad_dn dans la grille d’inventaire machines.

Ajouter des plugins dans la Console

Pour ajouter des plugins, aller dans Outils, Préférences et onglet Outils externes.

Créer un outil externe personnalisé pour WAPT

Créer un outil externe personnalisé pour WAPT

Cliquez sur Ajouter pour ajouter un plugin, puis éditez les colonnes correspondantes.

Colonne

Description

Nom

Le nom qui apparaîtra dans le menu.

Exécutable

Chemin de l’exécutable qui sera exécucté après le clic.

Arguments

Arguments passés à l’exécutable. Tous les paramètres qui sont affichés dans la grille peuvent être utilisés, comme {ip}, {uuid} ou {computer_fqdn}. Pour obtenir le nom du paramètre, vous pouvez faire un clic droit sur l’en-tête de la colonne, et le nom sera affiché en paranthèses à côté du nom de la colonne.

Les plugins vont alors aparraître dans le menu:

Créer un outil externe personnalisé pour WAPT

Créer un outil externe personnalisé pour WAPT

Re-Signer tous les paquets avec la console WAPT

Cette méthode pour re-signer tous les paquets hôtes est utile lorsque la méthode cryptographique sous-jacente ou que la librairie change, comme ce cas-ci lors de la mise à jour de WAPT 1.8.2 (basé sur Python 2.7) et WAPT >= 2.0 (basé sur Python 3.x).

Re-signing Host packages

Utilisez le certificat Administrateur pour re-signer les paquets.

  • Sélectionnez tous les hôtes.

  • Clic-droit sur les hôtes sélectionnés.

Liste des menus de configuration de la machine dans la Console WAPT

  • Sélectionnez Resigner les paquets de configuration machine.

  • Confirmez la re-signature sur les hôtes sléectionnés.

Fenêtre modale pour confirmer la re-signature sur les machines sélectionnées

Fenêtre modale pour confirmer la re-signature sur les machines sélectionnées

  • Puis, entrez votre clé privée.

Entrer le mot de passe pour déchiffrer la clé privée

Entrer le mot de passe pour déchiffrer la clé privée

  • Les paquets hôtes sélectionnés sont désormais tous re-signé avec la nouvelle méthode cryptographique exigée par Python3.

Re-signing other types of WAPT package

  • Accédez au dépôt depuis votre console WAPT.

Les dépôts disponibles sur la console WAPT

Les dépôts disponibles sur la console WAPT

  • Sélectionnez tous les paquets dans le dépôt, puis clic-droit sur la sélection.

Options de menu pour les référentiels

Options de menu pour les référentiels

  • Sélectionnez Resigner les paquets.

  • Pour lancer le processus de signature, cliquez sur Resigner les paquets.

Fenêtre de re-signature des paquets WAPT

Fenêtre de re-signature des paquets WAPT

  • Après un traitement qui peut prendre un certain temps, tous les paquets seront re-signés.

Le processus de signature s'est correctement terminé

Le processus de signature s’est correctement terminé

Attention

Le processus de signature s'est correctement terminé

Si l’erreur Access violation apparaît, c’est parce que le paquet est trop gros.

You can resign this packages using the command line.

And if it’s still not working, you can still manually edit the package and visit this procedure for signing large WAPT packages.

Afficher l’onglet des certificats dans la Console WAPT

Dans cet onglet, vous pouvez voir les certificats auxquels la machine accepte de faire confiance.

Fenêtre montrant les certificats approuvés par la machine sélectionnée.

Fenêtre montrant les certificats approuvés par la machine sélectionnée.

Afficher les données d’audit de la machine dans la Console WAPT

Vous pouvez gérer la sortie d’audit et afficher le résultat de l’audit si vous activez l’option dans l’onglet Visualisation ‣ Préférences d’affichage. Cochez l’option Montrer l’onglet des données d’audit de la machine pour voir l’onglet Données d’audit sur chaque client.

Fenêtre affichant les préférences avancées

Fenêtre affichant les préférences avancées

Pour utiliser les audits dans les paquets WAPT, visitez cette page pour gérer les données d’audit.

Afficher les données chiffrées avec un certificat dans l’onglet des données d’audit

Avec la fonction d’audit, il est possible de chiffrer les données sensibles provenant de machines distantes ; il sera possible de lire les données sensibles chiffrées avec un certificat installé sur la machine de l’administrateur WAPT. De cette façon, le Serveur WAPT peut déposer des données sensibles d’inventaire sans que le serveur devienne un bien sensible.

Cette méthode est particulièrement utile par exemple pour gérer en toute sécurité les mots de passe aléatoires LAPS dans WAPT.

Si vous disposez de la clé privée correspondant au certificat qui a été utilisé pour chiffrer les données, celles-ci seront déchiffrées et apparaîtront en clair.

Voici un exemple de code :

# -*- coding: utf-8 -*-
from setuphelpers import *
from waptcrypto import print_encrypted_data

def audit():
  randompassword = '1234'
  print_encrypted_data(randompassword, glob.glob('*.crt'))

Ce code va chiffrer le mot de passe 1234 avec tous les certificats présents sur la machine qui est utilisée pour gérer WAPT. Depuis la Console WAPT, vous verrez dans l’onglet Données d’audit la version chiffrée et vous pourrez déchiffrer les données avec la clé privée associée au certificat public qui a été utilisé pour chiffrer les données.

Résultat des données d'audit montrant la version chiffrée et déchiffrée

Gérer plusieurs profils de Serveur WAPT dans la Console WAPT

Vous pouvez connecter la Console WAPT à plusieurs Serveurs WAPT.

Pour ce faire, aller dans %localappdata%waptconsole, copier le fichier waptconsole.ini et renommez-le, par exemple waptconsole2.ini. Modifiez le nouveau fichier avec les paramètres du deuxième Serveur WAPT (ex : IP / DNS, préfixe, etc).

Ensuite, lorsque vous rouvrez la Console WAPT, vous pouvez sélectionner un Serveur WAPT ou l’autre.

Fenêtre montrant les connexions avec plusieurs profils de Serveur WAPT

Indication

Vous pouvez avoir plusieurs profils de connexion au Serveur WAPT mais les Serveurs WAPT ne communiquent pas entre eux.