Deux méthodes sont disponibles pour déployer le waptagent.exe.
La première méthode est manuelle et la procédure DOIT être appliquée sur chaque hôte.
La seconde est automatisée et s’appuie sur un GPO.
Le programme d’installation waptagent.exe est disponible sur la page d’accueil du serveur web WAPT. Le lien de téléchargement direct est par exemple : https://srvwapt.mydomain.lan/wapt/waptagent.exe.
Avertissement
Si vous ne signez pas le programme d’installation waptagent.exe avec un certificat commercial Code Signing ou un certificat Code Signing émis par l”Autorité de Certification de votre Organisation, les navigateurs web afficheront un message d’avertissement lors du téléchargement du programme d’installation.
Pour supprimer le message d’avertissement, vous DEVEZ**signer le :mimetype:`.exe` avec un certificat **Code Signing qui peut être vérifié par un certificat d’autorité stocké dans le magasin de certificats de la machine.
Les configurations sont définies dans la Console WAPT. Si vous ne souhaitez pas déployer de configuration, vous pouvez définir manuellement l’URL du référentiel WAPT et l’URL du Serveur WAPT, mais aucun certificat ne sera déployé.
Installez l’Agent WAPT en cliquant sur Install.
Attendez que l’installation de l’Agent WAPT se termine, puis cliquez sur Finish pour quitter.
L’installation de l’Agent WAPT est terminée. L’enregistrement de l’hôte avec le Serveur WAPT se fait automatiquement.
Des connaissances avancées en matière d’administration de réseaux et de systèmes sont nécessaires pour mener à bien cette procédure. Un réseau correctement configuré en assurera le succès.
Indication
Quand déployer automatiquement l’Agent WAPT ?
La méthode suivante est utile dans ces cas :
Une grande organisation avec de nombreux ordinateurs.
Un Samba Active Directory ou un Microsoft Active Directory pour lequel vous disposez de suffisamment de privilèges d’administration.
La sécurité et la traçabilité des actions sont importantes pour vous ou pour votre Organisation.
waptagent.exe est un installateur InnoSetup, il peut être exécuté avec ces arguments silencieux :
waptagent.exe/VERYSILENT
Des arguments supplémentaires sont disponibles pour l’utilitaire WAPT Deployment.
Description des options disponibles pour le déploiement silencieux de l’Agent WAPT¶
Options
Description
/dnsdomain = mydomain.lan
Domaine dans wapt-get.ini rempli lors de l’installation.
/wapt_server = https://srvwapt.mydomain.lan
URL du Serveur WAPT dans wapt-get.ini rempli lors de l’installation.
/repo_url = https://repo1.mydomain.lan/wapt
URL du dépôt WAPT dans le wapt-get.ini renseigné lors de l’installation.
/StartPackages = groupedebase
Groupe de paquets WAPT à installer par défaut.
:code:/verify_cert=``True ou chemin relatif ssl\server\srvwapt.mydomain.lan.crt.
Valeur de verify_cert saisie lors de l’installation.
/CopyServersTrustedCA = chemin d’accès à un paquet à copier vers ssl\server
Paquet de certificats pour les connexions https (à définir par verify_cert).
/CopypackagesTrustedCA = chemin vers un paquet de certificats à copier dans ssl
Paquet de certificats pour la vérification des signatures de paquet.
Indication
Le fichier .iss pour le programme d’installation InnoSetup est disponible dans C:\ProgramFiles(x86)\wapt\waptsetup\waptsetup.iss.
Vous pouvez choisir de l’adapter à vos besoins spécifiques. Une fois modifié, il vous suffira de recréer un waptagent.
Pour en savoir plus sur les options disponibles avec InnoSetup, visitez cette documentation
L’utilitaire WAPT Deployment est un petit binaire qui :
Vérifie la version de l’Agent WAPT.
Télécharge via https le programme d’installation waptagent.exe.
Lance le programme d’installation silencieux avec des arguments (options vérifiées définies pendant la compilation de l’Agent WAPT).
/VERYSILENT/MERGETASKS=""useWaptServer""
Met à jour le Serveur WAPT avec le statut de l’Agent WAPT (version WAPT, statut du paquet).
Avertissement
L’utilitaire de déploiement WAPT DOIT être lancé en tant que Administrateur local, c’est pourquoi un GPO est une bonne méthode pour déployer l’Agent WAPT.
Créez une nouvelle stratégie de groupe sur le serveur Active Directory (Microsoft Active Directory ou Samba-AD).
Ajouter une nouvelle stratégie avec Configuration de l’ordinateur ‣ Stratégies ‣ Paramètres Windows ‣ Scripts ‣ Démarrage ‣ Propriétés ‣ Ajouter.
Création d’une stratégie de groupe pour déployer l’Agent WAPT¶
Cliquez sur Browse pour sélectionner le waptdeploy.exe.
Recherche du fichier de l’utilitaire WAPT Deployment sur votre ordinateur¶
Copiez waptdeploy.exe dans le dossier de destination.
Sélection du script de l’utilitaire WAPT Deployment¶
Cliquez sur Open pour importer le waptdeploy.exe.
Sélection du script de l’utilitaire WAPT Deployment¶
Cliquez sur Open pour confirmer l’importation du binaire de l’utilitaire WAPT Deployment.
Indication
Il est nécessaire de fournir la somme de contrôle du waptagent.exe comme argument à la GPO de l’utilitaire WAPT Deployment. Cela empêchera l’hôte distant d’exécuter un binaire waptagent erroné / corrompu.
Les paramètres et la somme de waptagent.exe à utiliser pour le déploiement de l’agent WAPT via GPO sont disponibles sur la page d’accueil du Serveur WAPT https://srvwapt.mydomain.lan. Lorsque waptdeploy.exe interroge le Serveur WAPT pour obtenir l’URL de l’Agent WAPT, le référentiel de téléchargement est choisi en fonction des règles définies pour les référentiels distants. L’avantage de cette méthode est que vous n’avez besoin que d’une seule GPO pour déployer WAPT sur l’ensemble de votre parc d’ordinateurs !
Si elle est donnée, elle passe les arguments aux options /TASKS de l’installateur waptagent (par défaut installService,installredist2008,autoUpgradePolicy).
--repo_url = <repo_url>`
Emplacement du dépôt pour obtenir waptagent.exe (par défaut <repo_url>/wapt)
--setupargs = <setupargs>
Ajoute des arguments à la ligne de commande de waptagent.exe. Pour les logs –setupargs= »C:/windows/Temp/myfile.log »
--wait = <minutes>
Définit le délai d’exécution des tâches en cours et en attente si waptservice est en cours d’exécution avant l’installation.
:code:` –waptsetupurl` = <waptsetupurl>
Emplacement explicite pour télécharger l’exécutable d’installation. Il peut s’agir d’un chemin local (par défaut <repo_url>/waptagent.exe).
Vous pouvez également choisir de lancer l’utilitaire de déploiement WAPT à l’aide d’une tâche planifiée qui a été définie par GPO.
Indication
Cette méthode est particulièrement efficace pour déployer WAPT sur des postes de travail lorsque le réseau n’est pas disponible au démarrage ou à l’arrêt.
La méthode consiste à utiliser une GPO pour copier localement waptdeploy.exe et waptagent.exe et créer une tâche planifiée pour l’installation.
Copiez waptdeploy.exe et waptagent.exe dans le partage netlogon de votre serveur Active Directory (\mydomain.lan\netlogon\waptagent.exe).
Créez une nouvelle stratégie de groupe sur le serveur Active Directory (Microsoft Active Directory ou Samba-AD).
Ajoutez une nouvelle stratégie avec Configuration de l’ordinateur ‣ Préférences ‣ Paramètres Windows ‣ Fichiers.
Créez un nouveau fichier et copiez l’utilitaire WAPT Deployment.
Ensuite, allez dans le menu des tâches planifiées avec Configuration de l’ordinateur ‣ Préférences ‣ Paramètres du panneau de configuration ‣ Tâches planifiées.
Créez une nouvelle tâche programmée avec Clic droit ‣ Nouveau ‣ Tâche programmée (au moins Windows 7).
Créez la tâche planifiée pour la fenêtre des propriétés de l’utilitaire de déploiement WAPT dans RSAT¶
Onglet Général de la fenêtre Propriétés dans RSAT¶
Définissez Action sur Replace.
Pour Lorsque vous exécutez la tâche, utilisez le compte utilisateur suivant paste S-1-5-18(compte système). Vous pouvez visiter pour plus d’informations.
Vérifier Exécuter si l’utilisateur est connecté ou non.
Cochez Exécuter avec les plus hauts privilèges, puis passez à l’onglet Déclencheurs.
Onglet Déclencheur dans la fenêtre Propriétés dans RSAT¶
Créez un nouveau déclencheur.
Vérifiez Daily, sélectionnez today’s date.
Cochez Répéter la tâche tous les et sélectionnez 1 heure et pour une durée de sélectionnez 1 jour.
Vérifiez Arrêter la tâche si elle dure plus de et sélectionnez 2 heures.
Vérifiez que Enabled est coché, puis allez dans l’onglet Actions.
Onglet Actions dans la fenêtre Propriétés de RSAT¶
Créez une nouvelle action Démarrer un programme pour waptdeploy.exe.
Onglet Actions dans la fenêtre Propriétés de RSAT¶
Il est nécessaire de fournir la somme de contrôle du waptagent.exe comme argument à l’utilitaire WAPT Deployment. Cela empêchera l’hôte distant d’exécuter un binaire waptagent erroné / corrompu.
Les paramètres et la somme de contrôle waptagent.exe à utiliser pour la GPO de l’utilitaire de déploiement WAPT sont disponibles sur le Serveur WAPT en visitant https://srvwapt.mydomain.lan.
Définit l’emplacement du dépôt pour obtenir le waptagent.exe.
--setupargs = <options>
Ajoute des arguments à la ligne de commande de waptagent.exe.
--wait = <minutes>
Définit la durée maximale autorisée pour l’achèvement des tâches en cours et en attente si le Service WAPT est en cours d’exécution avant l’installation.
Définit un emplacement explicite pour télécharger l’exécutable d’installation. Cela peut être un chemin local (par défaut=:file:<repo_url>/waptagent.exe).
Passez à l’onglet Paramètres.
Onglet Paramètres dans la fenêtre Propriétés de RSAT¶
Dans l’onglet Paramètres, cochez uniquement Exécuter la tâche dès que possible après un démarrage programmé manqué.
Indication
Pour vérifier que le GPO fonctionne, vous pouvez exécuter la commande gpupdate /force et vérifier que la tâche planifiée est présente sur l’ordinateur en lançant Task Scheduler en tant qu’administrateur local.
Téléchargez et installez l’Agent WAPT (note : la chaîne de hachage peut changer, pour obtenir la dernière version, pointez votre navigateur sur l’url https://wapt.tranquil.it/wapt/releases/wapt-2.5/). Choisissez la version en fonction de l’architecture de votre processeur (intel ou m1) :
# for mac m1
curl-otis-waptagent-2.5.2.15207-ed70d8c7-macos-all-arm64.pkghttp://wapt.tranquil.it/wapt/releases/wapt-2.5.2.15207-ed70d8c7/tis-waptagent-2.5.2.15207-ed70d8c7-macos-all-arm64.pkg
# for mac intel
curl-otis-waptagent-2.5.2.15207-ed70d8c7-macos-all-x86_64.pkghttp://wapt.tranquil.it/wapt/releases/wapt-2.5.2.15207-ed70d8c7/tis-waptagent-2.5.2.15207-ed70d8c7-macos-all-x86_64.pkg
sudoinstaller-target/-pkgtis-waptagent*.pkg
1.2.1. Créer le fichier de configuration de l’Agent WAPT¶
L’assistant de configuration de l’Agent WAPT n’est disponible que sur l’édition WAPT Entreprise. Pour configurer l’Agent WAPT Linux, veuillez vous référer à la méthode manuelle de configuration de l’Agent WAPT.
Lorsque vous avez terminé, copier la commande avec Copy installation command.
Liste de menus montrant l’option Copy installation command¶
Utilisez ensuite cette copie de l’invite de commande sur l’agent Linux / macOS.
Certaines fonctionnalités sont actuellement indisponibles sur Linux et macOS :
l’installation des mises à jour à l’arrêt (WAPT Exit) ;
toutes les fonctions spécifiques a Windows.
1.2.1.2. Particularités de la fonctionnalité du domaine¶
Sur Linux :
Les tests ont été effectués avec sssd avec un domaine Active Directory et une authentification kerberos.
Pour intégrer une machine dans le domaine Active Directory, vous pouvez suivre cette documentation.
Pour que les groupes Active Directory fonctionnent correctement, vous devez vérifier que la commande id hostname$ renvoie la liste des groupes dont la machine est membre.
Attention
Nous avons remarqué que la requête LDAP de kerberos ne fonctionne pas si l’enregistrement DNS inverse n’est pas configuré correctement pour les contrôleurs de domaine. Ces enregistrements DOIVENT donc être créés s’ils n’existent pas.
1.3. Méthode manuelle pour configurer l’Agent WAPT fonctionnant sur Linux / macOS¶
Si vous avez déjà configuré votre Serveur WAPT pour utiliser les certificats SSL/TLS avec Nginx, vous devez copier le certificat dans votre Agent WAPT Linux.
Le certificat doit se trouver sur votre ordinateur Windows, dans C:\ProgramFiles(x86)\wapt\ssl\server\.
Copiez votre ou vos certificats dans /opt/wapt/ssl/server/ en utilisant WinSCP ou rsync si vous déployez sur Linux ou macOS.
Ensuite, modifiez dans votre fichier de configuration /opt/wapt/wapt-get.ini le chemin vers votre certificat.
Et donnez le chemin absolu de votre certificat.
verify_cert=/opt/wapt/ssl/server/YOURCERT.crt
Indication
Changez YOURCERT.crt par le nom de votre certificat.
La fenêtre suivante doit être remplie avec attention car elle définit la configuration de tous vos agents WAPT Windows. Assurez-vous que les certificats embarqués et les différents paramètres pour votre infrastructure sont correctement configurés avant de valider.
Il est recommandé de partir sur une configuration basique de l’agent et d’utiliser des paquets de configuration pour affiner les comportements des différentes machines (par exemple distinction entre stations de travail et serveurs, etc…).
Vous avez maintenant mis à jour votre agent WAPT pour Windows.
Assurez-vous que le paquet waptupgrade est affecté aux dépendances des machines ou aux Unités Organisationnelles (OU).
Pendant que vous générer l’Agent WAPT, un paquet nommé waptupgrade est créé.
Ce paquet est un paquet WAPT standard conçu pour mettre à jour les Agents WAPT sur des hôtes distants.
Indication
Pour l’instant, waptupgrade ne fonctionne que pour Windows. Waptupgrade ne met pas à jour l’Agent WAPT si la version du Serveur WAPT et la version de l’Agent WAPT sont les mêmes.
La mise à jour des Agents WAPT à l’aide du packaging waptupgrade est un processus en deux étapes :
D’abord le paquet copie le fichier waptsetup.exe sur l’ordinateur client et crée une tâche planifiée qui exécutera waptsetup.exe avec des paramètres d’installation prédéfinis deux minutes après la création de la tâche planifiée. À ce moment-là, le paquet lui-même est installé et l’inventaire du Serveur WAPT indique que l’installation du paquet est OK, avec la bonne version installée, mais l’inventaire montrera toujours l’ancienne version car l’Agent WAPT n’est pas encore mis à jour.
Après deux minutes, la tâche planifiée démarre et exécute waptsetup.exe avec la configuration prédéfinie créée dans la Console WAPT. Cette nouvelle méthode conserve le waptsetup.exe signé par Tranquil IT, mais la configuration de l’Agent WAPT viendra du Serveur WAPT. waptsetup.exe arrête le service WAPT local, met à jour WAPT localement, puis redémarre le service WAPT. La tâche planifiée est alors automatiquement supprimée et l’Agent WAPT commence à renvoyer son inventaire au Serveur WAPT. A partir de ce moment, l’inventaire sur le Serveur WAPT montrera la nouvelle version de l’Agent WAPT.
