10. Renforcer la sécurité de votre installation WAPT - Côté Console¶
10.2. Afficher l’onglet des certificats dans la Console WAPT¶
Dans cet onglet, vous pouvez voir les certificats auxquels la machine accepte de faire confiance.
10.3. Configuration des listes de contrôle d’accès ¶
Indication
L’utilisateur SuperAdmin de WAPT est authentifié par un mot de passe stocké dans waptserver.ini
comme valeur de l’attribut wapt_password
. Les autres utilisateurs WAPT peuvent être des utilisateurs locaux htpasswd_path
) ou des utilisateurs de comptes AD (ldap_auth_server
/ ldap_auth_base_dn
).
Les ACL définissent les actions autorisées pour tous les types d’utilisateurs dans le contexte WAPT.
Note
Les ACLs par défaut au niveau utilisateur sont définies par default_ldap_users_acls
dans waptserver.ini
.
L’ACL par défaut pour un nouvel utilisateur est vue
.
Attention
La sécurité est définie par le certificat déployé sur les clients, et non par les ACL.
Les ACL limitent simplement les actions que le serveur est autorisé à relayer de la Console WAPT aux Agents WAPT.
A la date du |date|, les Agents WAPT ne vérifient pas les droits ACL.
Pour configurer les ACL dans WAPT, allez dans
.Note
Au premier lancement après l’installation du Serveur WAPT, seul le compte SuperAdmin est présent dans la liste des utilisateurs.
Si le compte SuperAdmin n’existe pas ou ne possède pas le droit admin, le compte est recréé en redémarrant le service du Serveur WAPT.
Le compte SuperAdmin est authentifié en utilisant la valeur de wapt_password
dans le fichier de configuration waptserver.ini
.
Deux types de comptes sont gérables par ACL, local et Active Directory.
10.3.1. Compte d’utilisateur local¶
Les utilisateurs locaux sont définis par un fichier .htpasswd.
10.3.1.1. Configuration du Serveur WAPT¶
Pour utiliser un compte utilisateur local, vous devez créer un fichier nommé waptusers.htpasswd
dans le même dossier sur le Serveur WAPT contenant le fichier waptserver.ini
.
touch /opt/wapt/conf/waptusers.htpasswd
chown wapt /opt/wapt/conf/waptusers.htpasswd
cd. > C:\wapt\conf\waptusers.htpasswd
Sur
waptserver.ini
ajoutez les paramètreshtpasswd_path
.
htpasswd_path = password file location
Indication
Redémarrer le service waptserver
10.3.1.2. Création du compte utilisateur¶
Dans la fenêtre Droits des Utilisateurs WAPT, cliquez sur Nouveau compte.
Il est possible de renommer des comptes en appuyant sur F2 sur la colonne User.
Sauvegardez en cliquant sur Enregistrer les comptes.
Pour définir un mot de passe, voir le point Changez le mot de passe.
Pour définir les droits, consultez la section gérer les droits ACL.
Si l’utilisateur local a un mot de passe dans waptusers.htpasswd
, alors, le nom d’utilisateur apparaît en gras et Mots de passe est coché, sinon changez le mot de passe pour cet utilisateur.
10.3.1.3. Changer le mot de passe de l’utilisateur¶
Pour changer le mot de passe du compte sélectionné :
Faites un
.
Saisissez le nouveau mot de passe.
L’utilisateur local apparaît en gras et la case Mots de passe est cochée.
10.3.2. Utilisateurs WAPT définis comme utilisateurs Active Directory¶
Pour gérer les utilisateurs WAPT avec votre Active Directory, vous devez activer l”authentification Active Directory.
Après une première connexion réussie, le compte AD apparaîtra automatiquement dans la liste des utilisateurs WAPT.
10.3.3. Blocage des comptes d’utilisateurs locaux¶
Pour désenregistrer les utilisateurs locaux, faites
.Le compte sera bloqué et ne pourra plus gérer quoi que ce soit dans WAPT.
10.3.4. Liste des droits¶
De nombreux droits et restrictions peuvent être définis pour chaque utilisateur dans la Console WAPT.
Droit |
description |
---|---|
Admin |
Comme SuperAdmin, tous les droits sont accordés sauf Mot de passe. |
Voir |
Permet de visualiser uniquement les informations sur la Console WAPT. |
Inscrire machine |
Permet d’utiliser les informations d’identification de l’administrateur pour enregistrer manuellement une machine sur le Serveur WAPT. |
Désinscrire machine |
Permet de supprimer une machine depuis la Console WAPT. |
Modifier la machine |
Permet de modifier le paquet machine sur la Console WAPT. |
Modif paquets |
Permet de modifier les paquets de base qu’elle est autorisée à modifier. |
Modif groupes |
Permet de modifier les paquets de groupe sur la Console WAPT. |
Modif self-service |
Permet de modifier les règles de self-service sur la Console WAPT. |
Modif WUA |
Permet de modifier les règles WUA / WSUS sur la Console WAPT. |
Modif paquets AD OU |
Permet de modifier les paquets unit sur la Console WAPT. |
Modif paquets Profile |
Permet de modifier les packages profile sur la Console WAPT. |
Lancer les instalations |
Permet d’appliquer à distance des mises à jour sur son périmètre, si la machine est en statut PENDING. |
Actions distantes machine |
Permet d’utiliser les outils Windows de Gestion de l’ordinateur avec la Console WAPT. |
Modifier requêtes |
Permet de créer ou modifier des requêtes de rapport. |
Lancer requête |
Permet de exécuter des rapports SQL existants. |
Mot de passe |
Définit un utilisateur local |
10.3.5. Gestion des droits¶
Par défaut, le SuperAdmin est l’utilisateur du Certificat CA.
Pour les autres utilisateurs, il est possible d’associer un certificat généré par la PKI du WAPT ou par une autre CA.
Ces certificats peuvent ou non être des enfants de l’autorité de certification WAPT.
Attention
Si les certificats ne sont pas émis par l’autorité de certification :
Les paquets mis à jour sont disponibles uniquement sur les ordinateurs où les certificats sont déployés.
Les ACL sont valides uniquement sur le périmètre des hôtes où le certificat de l’administrateur est déployé.
10.3.5.1. Associer un certificat à un utilisateur¶
Indication
Par défaut, aucun certificat n’est défini pour aucun utilisateur (y compris SuperAdmin).
Le compte dans la Console WAPT apparaît en italic si aucun certificat n’est associé à l’utilisateur.
Pour associer un certificat à un utilisateur, faites
.Ensuite, choisissez le certificat à associer à l’utilisateur.
10.3.5.2. Ajouter / supprimer des droits¶
Pour ajouter ou supprimer des droits, sélectionnez la cellule avec
et cochez-la en appuyant sur la barre d'espace.Indication
Il est possible d’effectuer une sélection multiple en utilisant les raccourcis clavier control+clic gauche et en appuyant sur la barre d'espace.
10.3.5.3. Restreindre le périmètre des droits accordés à l’utilisateur¶
Il est possible d’associer un périmètre à un droit donné à un utilisateur.
10.3.5.3.1. Vue¶
Périmètre |
description |
---|---|
Tout refuser |
Aucun droit de regard n’est autorisé (non coché). |
Autoriser sur tout le périmètre |
Permet de visualiser à droite tous les Agents WAPT. |
Autoriser des périmètres spécifiques |
La visualisation est autorisée sur le périmètre sélectionné défini comme une liste de certificats. |
Autoriser où le certificat d’utilisateur est déployé |
La visualisation est autorisée uniquement sur le périmètre où le certificat de l’Administrateur WAPT est déployé. |
10.3.5.3.2. Modifier les paquets de groupe¶
Indication
Tous les paquets de groupe fonctionnent sur le même principe, décrit ci-dessous.
Périmètre |
description |
---|---|
Interdire tous les paquets |
Aucune édition n’est autorisée pour aucun paquet (non coché). |
Autoriser tous les paquets |
Le droit de modification est autorisé pour tous les paquets WAPT. |
Autoriser des noms de paquets spécifiques |
Permet le droit d’édition pour les paquets WAPT sélectionnés dans la liste. |