1. Prérequis d’installation WAPT

1.1. Prérequis d’installation

1.1.1. Conventions de dénomination

Vous devez prendre en considération quelques points de sécurité afin de tirer tous les avantages possibles du WAPT :

  • If you are familiar with Linux, we advise you to install WAPT Server directly on Debian or a RedHat based distribution following the security recommendations of French ANSSI or the recommendations of your state cyberdefense agency.

  • Bien que le Serveur WAPT ne soit pas conçu pour être un actif sensible, nous recommandons qu’il soit installé sur une machine dédiée (physique ou virtuelle).

Attention

Dans toutes les étapes de la documentation, vous n’utiliserez aucun accent ou caractère spécial pour :

  • le login des utilisateurs ;

  • le chemin de la clé privée et du certificat ;

  • le CN ;

  • le chemin d’installation de WAPT ;

  • les noms de groupe ;

  • le nom des hôtes ou le nom du serveur ;

  • le chemin vers le répertoire C:\waptdev.

1.1.2. Préconisations réseau

Le serveur WAPT utilise l’authentification par certificat client pour authentifier les agents WAPT. Il est donc techniquement nécessaire que le serveur WAPT fasse la terminaison TLS. L’utilisation de firewall applicatif ou de reverse proxy qui font de l’interception TLS ou de la terminaison TLS ne sont donc pas supportés.

Il est possible d’utiliser un reverse proxy si le mode « Stream » est supporté, comme par exemple le module Nginx stream ou le module HAProxy TLS Passthrough. Merci de vous reporter aux documentations correspondantes pour plus d’information.

1.1.3. Préconisations matérielles

Le Serveur WAPT peut être installé soit sur un serveur virtuel, soit sur un serveur physique.

Recommandations de RAM et de CPU optimales pour le Serveur WAPT

Taille de parc

CPU

RAM

Optimisation serveur à appliquer

De 0 a 300 postes

2 CPU

2048 Mio

Non

De 300 a 1000 postes

4 CPU

4096 Mio

Oui

De 1000 a 3000 postes

4 CPU

8192 Mio

Oui

A partir de 3000 postes et plus

8 CPU

16384 Mio

Oui

  • Un minimum de 10 Go d’espace libre est nécessaire pour le système, la base de données et les fichiers journaux.

  • Pour de meilleures performances, Tranquil IT recommande que la base de données soit stockée sur des supports rapides, tels que des disques SSD ou des SSD sur PCIe.

  • L’exigence globale en matière de disque dépendra du nombre et de la taille de vos paquets WAPT (logiciels) que vous stockerez sur votre dépôt principal, 30 Go étant un bon début. Il n’est pas strictement nécessaire de stocker les paquets WAPT sur des disques rapides.

  • Enfin, nous avons connaissance d’utilisateurs disposant de serveurs équipés de multiples interfaces réseau 10Gbps déployant à pleine vitesse des paquets de mise à jour massifs de Catia, National Instruments et Solidworks sur leur LAN.

1.1.4. Préconisations logicielles

1.1.4.1. Système d’exploitation

Le Serveur WAPT est disponible sur Linux et Windows :

  • Pour Linux, Debian 10, 11 et 12, Red Hat 7, 8, 9 et dérivés, Ubuntu server LTS 20.04 et 22.04 la version 64 bit est supporté. Il n’est pas obligatoire d’utiliser une distribution Linux serveur, mais utilisez une distribution non graphique.

Note

SELINUX est supporté mais pas obligatoire.

Attention

  • Le Serveur WAPT ne fonctionnera que sur un système basé sur une architecture 64bit.

  • Installer le Serveur sans interface graphique en GNU/Linux.

  • Systemd doit être activé.

  • Pour Windows, WAPT Serveur peut être installé sur les versions Windows Server 64 bit supportées par Microsoft (Win2012r2, Win2k16, Win2k19 ou Win2k22). Selon vos besoins, il peut également être installé sur des versions récentes de Win10 ou Win11 Pro/Ent.

Attention

  • Le Serveur WAPT ne fonctionnera que sur un système basé sur une architecture 64bit.

1.1.4.2. Ouverture de ports

Diagramme des flux de données de WAPT

Diagramme des flux de données de WAPT

Seuls les ports 80 et 443 doivent être ouverts pour les connexions entrantes car le framework WAPT fonctionne avec des websockets initiés par les Agents WAPT.

1.1.4.2.1. Entrant
Ports entrants à ouvrir pour que le WAPT fonctionne

Protocole

Numéro de port

Source

Destination

description

TCP

80

Tous les Agents WAPT

Serveur WAPT

Connexion Websocket (non-sécurisé) pour télécharger les paquets et les KB.

TCP

443

Tous les Agents WAPT

Serveur WAPT

Connexion Websocket pour télécharger les paquets et les KB.

UDP

69 Note : tftp utilise des ports éphémères/dynamiques pour le transport des données. Si vous avez un pare-feu entre le serveur et les ordinateurs, assurez-vous d’avoir activé le support pour tftp conntrack.

Si vous utilisez Déploiement WADS le port TFTP (69) doit être ouvert.

Serveur WAPT

Pour télécharger la première étape des fichiers de démarrage de l’OS avant que le protocole HTTP ne soit disponible.

1.1.4.2.2. Sortant
Ports sortants à ouvrir pour que le WAPT fonctionne

Protocole

Numéro de port

Source

Destination

description

TCP

80

Serveur WAPT

Internet

Pour télécharger wsusscn2.cab et KB.

TCP

80

Serveur WAPT

Dépôt Linux (pour les serveurs Linux) et dépôts Tranquil IT ([1])

Téléchargement des packages WAPT en utilisant le protocole HTTP (non sécurisé).

TCP

443

Serveur WAPT

Dépôt Linux (pour les serveurs Linux) et dépôts Tranquil IT ([1])

Téléchargement des packages WAPT à l’aide de HTTPS (sécurisé).

TCP

53

Serveur WAPT

Contrôleur de domaine ou serveur DNS

Résolution de noms de domaine.

TCP

389

Serveur WAPT

Contrôleur de domaine ou serveur LDAP

Authentification LDAP pour authentifier les utilisateurs avec la Console WAPT ou le Self-service WAPT.

TCP

636

Serveur WAPT

Contrôleur de domaine ou serveur LDAP

Authentification LDAP.

UDP

123

Serveur WAPT

Contrôleur de domaine ou serveur NTP

NTP pour garder le temps synchronisé et kerberos fonctionnant correctement.

Notes de bas de page

1.2. Conseils avant l’installation

1.2.1. Configurer les DNS de l’Organisation pour WAPT

Note

La configuration DNS n’est pas obligatoire, elle est fortement recommandée.

Afin de faciliter la gestion de votre installation WAPT, il est fortement recommandé de configurer le serveur DNS pour inclure le champ A ou le champ CNAME comme ci-dessous :

  • srvwapt.mydomain.lan.

  • wapt.mydomain.lan.

Remplacer mydomain.lan par le suffixe DNS utilisé sur votre réseau.

1.2.2. Configurer les champs DNS avec les « Outils d’administration de serveur distant » Microsoft (RSAT).

  • Le champ A pointe vers l’adresse IP du Serveur WAPT.

Configurer un champ A dans les RSAT Windows

Vous pouvez maintenant installer votre Serveur WAPT sur l’OS de votre choix :