1. Prérequis d’installation¶
1.1. Prérequis d’installation¶
1.1.1. Conventions de dénomination¶
Vous devez prendre en considération quelques points de sécurité afin de tirer tous les avantages possibles du WAPT :
Si vous êtes familier avec Linux, nous vous conseillons d’installer le serveur WAPT directement sur CentOS en suivant les recommandations de sécurité de l” ANSSI ou les recommandations de l’agence de cyberdéfense de votre état.
Bien que le serveur WAPT ne soit pas conçu pour être un actif sensible, nous recommandons qu’il soit installé sur une machine dédiée (physique ou virtuelle).
Attention
Dans toutes les étapes de la documentation, vous n’utiliserez aucun accent ou caractère spécial pour :
le login des utilisateurs ;
le chemin de la clé privée et du certificat ;
le CN ;
le chemin d’installation de WAPT ;
les noms de groupe ;
le nom des hôtes ou le nom du serveur ;
le chemin vers le répertoire
C:\waptdev
.
1.1.2. Préconisations matérielles¶
Le serveur WAPT peut être installé soit sur un serveur virtuel, soit sur un serveur physique.
Taille de parc |
CPU |
RAM |
Optimisation serveur à appliquer |
---|---|---|---|
De 0 a 300 postes |
2 CPU |
2024 Mio |
Non |
De 300 a 1000 postes |
4 CPU |
4096 Mio |
Oui |
De 1000 a 3000 postes |
8 CPU |
8192 Mio |
Oui |
A partir de 3000 postes et plus |
16 CPU |
16384 Mio |
Oui |
Un minimum de 10 Go d’espace libre est nécessaire pour le système, la base de données et les fichiers journaux.
Un minimum de 10 Go d’espace libre est nécessaire pour le système, la base de données et les fichiers de journalisation. Pour de meilleures performances, Tranquil IT recommande que la base de données soit stockée sur des supports rapides, tels que des disques SSD ou des SSD sur PCIe.
L’exigence globale en matière de disque dépendra du nombre et de la taille de vos paquets WAPT (logiciels) que vous stockerez sur votre dépôt principal, 30 Go étant un bon début. Il n’est pas strictement nécessaire de stocker les paquets WAPT sur des disques rapides.
Enfin, nous avons connaissance d’utilisateurs disposant de serveurs équipés de multiples interfaces réseau 10Gbps déployant à pleine vitesse des paquets de mise à jour massifs de Katia, National Instruments et Solidworks sur leur LAN.
1.1.3. Préconisations logicielles¶
1.1.3.1. Système d’exploitation¶
Le serveur WAPT est disponible sur Linux et Windows :
Pour Linux, Debian 11 et 12, Red Hat 7 / 8 et dérivés, Ubuntu server LTS 20.04 la version 64 bit est supporté. Il n’est pas obligatoire d’utiliser une distribution Linux serveur, mais utilisez une distribution non graphique.
Note
SELINUX est supporté mais pas obligatoire.
Pour Windows, le serveur WAPT peut être installé sur une version Windows Server 64 bits supportée par Microsoft (Win2012r2, Win2k16, Win2k19 ou Win2k22). Selon votre besoin, il peut également être installé sur une version récente de Win10 Pro/Ent (20H2 ou plus).
Attention
Le serveur WAPT ne fonctionnera que sur un système basé sur une architecture 64bit.
Installez le serveur sans interface graphique.
Systemd doit être activé.
1.1.3.2. Ouverture de ports¶
Seuls les ports 80 et 443 doivent être ouverts pour les connexions entrantes car le framework WAPT fonctionne avec des websockets initiés par les Agents WAPT.
1.1.3.2.1. Entrant¶
Protocole |
Numéro de port |
Source |
Destination |
Description |
---|---|---|---|---|
TCP |
80 |
Tous les agents WAPT |
Serveur WAPT |
Connexion Websocket (non-sécurisé) pour télécharger les paquets et les KB. |
TCP |
443 |
Tous les agents WAPT |
Serveur WAPT |
Connexion Websocket pour télécharger les paquets et les KB. |
UDP |
69 Note : tftp utilise des ports éphémères/dynamiques pour le transport des données. Si vous avez un pare-feu entre le serveur et les ordinateurs, assurez-vous d’avoir activé le support pour tftp conntrack. |
Si vous utilisez Déploiement WADS le port TFTP (69) doit être ouvert. |
Serveur WAPT |
Pour télécharger la première étape des fichiers de démarrage de l’OS avant que le protocole HTTP ne soit disponible. |
1.1.3.2.2. Sortant¶
Protocole |
Numéro de port |
Source |
Destination |
Description |
---|---|---|---|---|
TCP |
80 |
Serveur WAPT |
Internet |
Connexion Websocket (non-sécurisé) pour télécharger les paquets, |
TCP |
80 |
Serveur WAPT |
Dépôt Linux (pour les serveurs Linux) et dépôts Tranquil IT ([1]) |
Téléchargement des packages WAPT en utilisant le protocole HTTP (non sécurisé). |
TCP |
443 |
Serveur WAPT |
Dépôt Linux (pour les serveurs Linux) et dépôts Tranquil IT ([1]) |
Téléchargement des packages WAPT à l’aide de HTTPS (sécurisé). |
TCP |
53 |
Serveur WAPT |
Contrôleur de domaine ou serveur DNS |
Résolution de noms de domaine. |
TCP |
389 |
Serveur WAPT |
Contrôleur de domaine ou serveur LDAP |
Authentification LDAP pour authentifier les utilisateurs avec la Console WAPT ou le Self-service WAPT. |
TCP |
636 |
Serveur WAPT |
Contrôleur de domaine ou serveur LDAP |
Authentification LDAP. |
UDP |
123 |
Serveur WAPT |
Contrôleur de domaine ou serveur NTP |
NTP pour garder le temps synchronisé et kerberos fonctionnant correctement. |
Notes de bas de page
1.2. Conseils avant l’installation¶
1.2.1. Configurer les DNS de l’Organisation pour WAPT¶
Note
La configuration DNS n’est pas obligatoire, elle est fortement recommandée.
Afin de faciliter la gestion de votre installation WAPT, il est fortement recommandé de configurer le serveur DNS pour inclure le champ A ou le champ CNAME comme ci-dessous :
srvwapt.mydomain.lan.
wapt.mydomain.lan.
Remplacer mydomain.lan par le suffixe DNS utilisé sur votre réseau.
Ces champs seront utilisés par les agents WAPT pour trouver le serveur WAPT ou un dépôt secondaire WAPT de proximité sur le réseau.
1.2.2. Configurer les champs DNS avec les « Outils d’administration de serveur distant » Microsoft (RSAT).¶
Le champ A pointe vers l’adresse IP du serveur WAPT.
Vous pouvez maintenant installer votre serveur WAPT sur l’OS de votre choix :