1. Prérequis d’installation WAPT¶
1.1. Prérequis d’installation¶
1.1.1. Conventions de dénomination¶
Vous devez prendre en considération quelques points de sécurité afin de tirer tous les avantages possibles du WAPT :
If you are familiar with Linux, we advise you to install WAPT Server directly on Debian or a RedHat based distribution following the security recommendations of French ANSSI or the recommendations of your state cyberdefense agency.
Bien que le Serveur WAPT ne soit pas conçu pour être un actif sensible, nous recommandons qu’il soit installé sur une machine dédiée (physique ou virtuelle).
Attention
Dans toutes les étapes de la documentation, vous n’utiliserez aucun accent ou caractère spécial pour :
le login des utilisateurs ;
le chemin de la clé privée et du certificat ;
le CN ;
le chemin d’installation de WAPT ;
les noms de groupe ;
le nom des hôtes ou le nom du serveur ;
le chemin vers le répertoire
C:\waptdev
.
1.1.2. Préconisations réseau¶
Le serveur WAPT utilise l’authentification par certificat client pour authentifier les agents WAPT. Il est donc techniquement nécessaire que le serveur WAPT fasse la terminaison TLS. L’utilisation de firewall applicatif ou de reverse proxy qui font de l’interception TLS ou de la terminaison TLS ne sont donc pas supportés.
Il est possible d’utiliser un reverse proxy si le mode « Stream » est supporté, comme par exemple le module Nginx stream ou le module HAProxy TLS Passthrough. Merci de vous reporter aux documentations correspondantes pour plus d’information.
1.1.3. Préconisations matérielles¶
Le Serveur WAPT peut être installé soit sur un serveur virtuel, soit sur un serveur physique.
Taille de parc |
CPU |
RAM |
Optimisation serveur à appliquer |
---|---|---|---|
De 0 a 300 postes |
2 CPU |
2048 Mio |
Non |
De 300 a 1000 postes |
4 CPU |
4096 Mio |
Oui |
De 1000 a 3000 postes |
4 CPU |
8192 Mio |
Oui |
A partir de 3000 postes et plus |
8 CPU |
16384 Mio |
Oui |
Un minimum de 10 Go d’espace libre est nécessaire pour le système, la base de données et les fichiers journaux.
Pour de meilleures performances, Tranquil IT recommande que la base de données soit stockée sur des supports rapides, tels que des disques SSD ou des SSD sur PCIe.
L’exigence globale en matière de disque dépendra du nombre et de la taille de vos paquets WAPT (logiciels) que vous stockerez sur votre dépôt principal, 30 Go étant un bon début. Il n’est pas strictement nécessaire de stocker les paquets WAPT sur des disques rapides.
Enfin, nous avons connaissance d’utilisateurs disposant de serveurs équipés de multiples interfaces réseau 10Gbps déployant à pleine vitesse des paquets de mise à jour massifs de Catia, National Instruments et Solidworks sur leur LAN.
1.1.4. Préconisations logicielles¶
1.1.4.1. Système d’exploitation¶
Le Serveur WAPT est disponible sur Linux et Windows :
Pour Linux, Debian 10, 11 et 12, Red Hat 7, 8, 9 et dérivés, Ubuntu server LTS 20.04 et 22.04 la version 64 bit est supporté. Il n’est pas obligatoire d’utiliser une distribution Linux serveur, mais utilisez une distribution non graphique.
Note
SELINUX est supporté mais pas obligatoire.
Attention
Le Serveur WAPT ne fonctionnera que sur un système basé sur une architecture 64bit.
Installer le Serveur sans interface graphique en GNU/Linux.
Systemd doit être activé.
Pour Windows, WAPT Serveur peut être installé sur les versions Windows Server 64 bit supportées par Microsoft (Win2012r2, Win2k16, Win2k19 ou Win2k22). Selon vos besoins, il peut également être installé sur des versions récentes de Win10 ou Win11 Pro/Ent.
Attention
Le Serveur WAPT ne fonctionnera que sur un système basé sur une architecture 64bit.
1.1.4.2. Ouverture de ports¶
Seuls les ports 80 et 443 doivent être ouverts pour les connexions entrantes car le framework WAPT fonctionne avec des websockets initiés par les Agents WAPT.
1.1.4.2.1. Entrant¶
Protocole |
Numéro de port |
Source |
Destination |
description |
---|---|---|---|---|
TCP |
80 |
Tous les Agents WAPT |
Serveur WAPT |
Connexion Websocket (non-sécurisé) pour télécharger les paquets et les KB. |
TCP |
443 |
Tous les Agents WAPT |
Serveur WAPT |
Connexion Websocket pour télécharger les paquets et les KB. |
UDP |
69 Note : tftp utilise des ports éphémères/dynamiques pour le transport des données. Si vous avez un pare-feu entre le serveur et les ordinateurs, assurez-vous d’avoir activé le support pour tftp conntrack. |
Si vous utilisez Déploiement WADS le port TFTP (69) doit être ouvert. |
Serveur WAPT |
Pour télécharger la première étape des fichiers de démarrage de l’OS avant que le protocole HTTP ne soit disponible. |
1.1.4.2.2. Sortant¶
Protocole |
Numéro de port |
Source |
Destination |
description |
---|---|---|---|---|
TCP |
80 |
Serveur WAPT |
Internet |
Pour télécharger |
TCP |
80 |
Serveur WAPT |
Dépôt Linux (pour les serveurs Linux) et dépôts Tranquil IT ([1]) |
Téléchargement des packages WAPT en utilisant le protocole HTTP (non sécurisé). |
TCP |
443 |
Serveur WAPT |
Dépôt Linux (pour les serveurs Linux) et dépôts Tranquil IT ([1]) |
Téléchargement des packages WAPT à l’aide de HTTPS (sécurisé). |
TCP |
53 |
Serveur WAPT |
Contrôleur de domaine ou serveur DNS |
Résolution de noms de domaine. |
TCP |
389 |
Serveur WAPT |
Contrôleur de domaine ou serveur LDAP |
Authentification LDAP pour authentifier les utilisateurs avec la Console WAPT ou le Self-service WAPT. |
TCP |
636 |
Serveur WAPT |
Contrôleur de domaine ou serveur LDAP |
Authentification LDAP. |
UDP |
123 |
Serveur WAPT |
Contrôleur de domaine ou serveur NTP |
NTP pour garder le temps synchronisé et kerberos fonctionnant correctement. |
Notes de bas de page
1.2. Conseils avant l’installation¶
1.2.1. Configurer les DNS de l’Organisation pour WAPT¶
Note
La configuration DNS n’est pas obligatoire, elle est fortement recommandée.
Afin de faciliter la gestion de votre installation WAPT, il est fortement recommandé de configurer le serveur DNS pour inclure le champ A ou le champ CNAME comme ci-dessous :
srvwapt.mydomain.lan.
wapt.mydomain.lan.
Remplacer mydomain.lan par le suffixe DNS utilisé sur votre réseau.
1.2.2. Configurer les champs DNS avec les « Outils d’administration de serveur distant » Microsoft (RSAT).¶
Le champ A pointe vers l’adresse IP du Serveur WAPT.
Vous pouvez maintenant installer votre Serveur WAPT sur l’OS de votre choix :