WAPT Enterprise 2.0 : premiers pas et déploiement d’un logiciel

I. Présentation

Dans ce tutoriel, je vous propose de découvrir WAPT 2.0 et d'apprendre à déployer un logiciel sur des postes à l'aide d'un serveur WAPT 2.0 Enterprise.

Fin mars 2021, l'éditeur français Tranquil IT a publié WAPT 2.0 Enterprise, la nouvelle version de sa solution de déploiement de logiciels et de gestion de parcs informatiques. Cette version intègre plusieurs nouveautés, avec entre autres le passage à Python 3 à la place de Python 2.7, une gestion avancée des ACL ainsi qu'une interconnexion avec GLPI. Pour en savoir plus, je vous invite à lire mon article consacré à ces nouveautés : WAPT 2.0

Aujourd'hui, je vais vous expliquer comment déployer un logiciel à l'aide de WAPT 2.0, sans trop m'attarder dans le détail sur la partie installation : elle est bien décrite au sein de la documentation officielle. D'ailleurs, ces dernières semaines, l'équipe de Tranquil IT travaille activement sur la mise à jour de la documentation pour qu'elle soit le plus claire possible.

Si vous désirez tester WAPT Enterprise, je vous invite à suivre le lien suivant puisque vous pouvez demander une licence d'essai gratuitement auprès de l'éditeur : Demander un essai WAPT

II. Installation du serveur WAPT et de la console

A. Installation du serveur WAPT sur Windows Server

Pour une instance en production, l'éditeur recommande de déployer WAPT sur une machine Linux plutôt que sur Windows. Pour mes tests, j'ai opté pour une machine Windows Server.

Pour effectuer l'installation sur Windows, il faut suivre la procédure suivante : Installer WAPT Server sur Windows

Le serveur WAPT s'appuie sur trois rôles clés : la partie dépôt qui sert à distribuer les paquets et qui s'appuie sur un serveur NginX, la partie inventaire et un proxy de commandes exploité via la console WAPT.

L'assistant permet d'effectuer l'installation en quelques étapes. Ce qui est important, c'est de lancer l'exécutable en tant qu'administrateur avec un compte local du serveur, et non un compte administrateur du domaine. Sinon, le serveur WAPT ne fonctionnera pas, car il y aura des services non créés (je sais de quoi je parle...).

Lorsque le nom d'hôte est demandé, précisez le nom de votre machine Windows (même s'il n'y a pas de vérification DNS, ce sera cohérent au moins). Indiquez également un mot de passe admin pour WAPT. Il sera utile lorsqu'il faudra s'authentifier avec la console WAPT.

Indiquez un préfixe pour vos paquets associés à ce serveur et son dépôt, puis un mot de passe pour la clé privée du serveur.

À la fin de l'installation, décochez l'option "Lancer Waptconsole" : la console ne doit pas être installée sur le même serveur que le serveur WAPT ! Vous pouvez laisser cocher l'option "Ouvre la page d'accueil du serveur...." : cela va permettre d'accéder à la page Web du serveur WAPT pour vérifier que tout fonctionne, avant d'aller plus loin.

Passez ensuite sur l'installation de la console WAPT sur une seconde machine.

B. Installation de la console WAPT

La console WAPT est un client lourd qui sert à administrer la solution WAPT au quotidien, notamment pour la gestion des paquets.

La console doit s'installer sur un serveur différent que celui utilisé pour installer le rôle "serveur WAPT" en lui-même. En fait, la console WAPT est destinée à être installée sur un serveur d'administration.

L'exécutable de la console, comme celui du serveur, se récupère depuis le site de WAPT. Ensuite, soit vous le copiez directement sur le serveur où installer la console, soit vous le mettez à disposition sur votre serveur WAPT et vous le récupérez via l'interface Web.

L'installation de la console est décrite sur cette page : Installer la console WAPT

Veillez à bien indiquer le nom complet de votre serveur au sein des adresses. Si besoin, créez un enregistrement DNS dans la zone correspondante, mais cela devrait être automatique si votre serveur WAPT est membre du domaine.

À la fin de l'installation, vous pouvez laisser cocher l'option "Lancer Waptconsole" cette fois-ci.

Authentifiez-vous à l'aide du compte "admin" et du mot de passe définit lors de l'installation du serveur.

C. Créer le certificat de l'admin et générer l'agent

Lorsque la console s'exécute la première fois, il est suggéré de générer l'agent WAPT : refusez. Il est nécessaire de générer le certificat de l'administrateur avant d'aller plus loin. Ce certificat est associé à une clé privée et il sera utile pour signer les paquets déployés sur les postes clients.

Appuyez-vous également sur la documentation officielle : WAPT - Générer le certificat et l'agent

Pour démarrer la création du certificat, cliquez sur "Outils" puis "Générer un certificat". Dans l'exemple ci-dessous, la clé privée sera le fichier "privatekey.pem" et il y aura un fichier de certificat (.crt) auto-signé qui sera généré.

À la fin de la génération, cliquez sur "Yes" pour que le certificat soit copié vers le répertoire des certificats autorisés.

Ce qui donne :

Maintenant, passons à la génération de l'agent WAPT. Le certificat va être intégré à l'agent puisqu'il est dans le dossier "wapt/ssl".

Attention : vous ne devez pas ajouter votre clé privée dans le dossier "C:\Program Files (x86)\wapt" (ou un sous-dossier), sinon elle sera intégrée à l'agent WAPT. Si vous distribuez le certificat et la clé privée, vous offrez la possibilité de signer des paquets, etc...

Pour générer l'agent, au sein de la console WAPT cliquez sur "Outils" puis "Générer un agent WAPT". Sélectionnez les options qui vous intéressent et démarrez la génération de l'agent. Voici un exemple :

Patientez pendant la génération de l'agent.

Lorsque c'est terminé, vous pouvez passer à l'étape suivante. D'ailleurs, le paquet apparaît dans l'onglet "Dépôt privé" de la console WAPT.

III. Déployer l'agent WAPT sur les postes

Il y a deux manières d'installer l'agent WAPT sur les postes : manuellement ou au travers d'une GPO. L'installation de cet agent est une étape primordiale pour faire le lien entre le poste client et le serveur WAPT.

Concrètement, depuis un poste client à partir d'un navigateur il est possible de lancer le téléchargement. Par exemple, dans mon cas le lien est :

https://srv-ws-01.it-connect.local/wapt/waptagent.exe

Prenons plutôt la seconde option : le déploiement de l'agent par GPO. Ce qui nécessite d'utiliser l'outil waptdeploy.exe que l'on va exécuter par GPO avec des paramètres spécifiques.

Suivez les étapes suivantes pour déployer l'agent WAPT par GPO. L'objectif étant de lancer l'installation au démarrage de la machine.

1 - Récupérez l'exécutable de waptdeploy.exe sur votre serveur WAPT, pour ma part :

https://srv-ws-01.it-connect.local/wapt/waptdeploy.exe

2 - Ouvrez la console de Gestion des stratégies de groupe et créez une nouvelle GPO avec le nom que vous souhaitez, par exemple : "Installer-WAPT-Agent".

3 - Parcourez les paramètres de cette façon : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage/arrêt) > Démarrage

Une fenêtre va s'ouvrir, au sein de l'onglet "Scripts", cliquez sur "Ajouter" puis sur "Parcourir".

À cet endroit, collez l'exécutable "waptdeploy.exe" et cliquez sur "Ouvrir", comme ceci :

Ensuite, retournez sur l'interface Web de votre serveur WAPT pour récupérer la commande indiquée sur la page d'accueil. Pour être plus précis, je parle de cette commande :

Nous allons modifier cette valeur pour intégrer le chemin vers l'exécutable de l'agent WAPT (waptagent.exe). En fait, il faut ajouter "--waptsetupurl=http://srv-ws-01.it-connect.local/wapt/waptagent.exe" à la commande (en adaptant avec l'adresse de votre serveur).

Ce qui donne :

waptdeploy.exe --hash=cd75fc63c23bc7b5c0807040b9e1891177dcfc2f7fa3c0865593ca77bc87a231 --minversion=2.0.0.9423 --wait=15 --waptsetupurl=http://srv-ws-01.it-connect.local/wapt/waptagent.exe

Dans la GPO, au sein du champ "Paramètres de scripts", indiquez la valeur sans préciser "waptdeploy.exe", au début :

--hash=cd75fc63c23bc7b5c0807040b9e1891177dcfc2f7fa3c0865593ca77bc87a231 --minversion=2.0.0.9423 --wait=15 --waptsetupurl=http://srv-ws-01.it-connect.local/wapt/waptagent.exe

Validez... La GPO est prête, il ne reste plus qu'à tester sur un poste client pour valider le déploiement de l'agent WAPT.

Au sein de la console WAPT, dans l'onglet "Inventaire" la machine doit remonter. Le temps que l'agent se déploie sur la machine cible, cela peut prendre quelques minutes.

L'agent WAPT va remonter diverses informations au sujet de la machine vers le serveur WAPT : des informations générales comme le nom, l'OS, l'adresse IP, le type de machine, ou encore l'utilisateur connecté. En complément, un inventaire matériel complet sera remonté, ainsi qu'un inventaire des logiciels présents sur la machine.

On peut obtenir également un état sur les mises à jour Windows (si la fonction est activée dans l'agent), ainsi qu'un état des tâches et une synthèse des paquets déployés sur cette machine.

Lorsqu'une machine est remontée sur la console WAPT, elle devient gérable depuis cette console. Quand je dis gérable, c'est-à-dire qu'il y a de nombreuses fonctions intégrées pour faciliter la vie des administrateurs au quotidien. Par exemple, on démarrer ou redémarrer la machine à distance, forcer un gpupdate à distance, prendre la main sur la machine, accéder à la gestion des services, etc.

Passons au déploiement d'un logiciel sur notre poste...

IV. Déployer un logiciel avec WAPT

Dans cet exemple, je vous propose de déployer TightVNC au format MSI grâce à WAPT. Sachez qu'il est possible de déployer d'autres types de paquets, notamment au format EXE (cela nécessite un peu de recherche), mais aussi pour d'autres plateformes que Windows. En fait, WAPT permet d'aller vraiment très loin dans la personnalisation du déploiement (la documentation à ce sujet parle d'elle-même).

L'installation du paquet sur un poste sera effectuée seulement si le poste client a pu vérifier la signature du paquet. Puisque WAPT repose sur un principe de clé privée / publique (avec le certificat), cela permet de s'assurer de l'intégrité d'un paquet avant de l'installer.

Un paquet WAPT se présente sous la forme d'un ZIP qui contient différents fichiers, notamment le certificat, un script d'installation en Python, un fichier "control" qui est en quelque sorte la carte d'identité de votre paquet et les sources d'installation de votre logiciel.

Les paquets WAPT

Commencez par télécharger la dernière version de TightVNC sur le site officiel : Télécharger TightVNC

Sachez qu'il y a également un dépôt WAPT dans lequel vous pouvez piocher et que vous pouvez ajouter à votre serveur WAPT directement : Dépôt officiel WAPT

La suite se déroule dans la console WAPT : cliquez sur "Outils" puis "Générer un modèle de paquet". Cochez la case "Installeur Windows (.msi/.msix/.exe)" et indiquez le chemin vers notre MSI. Continuez...

On peut se satisfaire de cliquer sur "Créer et téléverser" : c'est un MSI donc tout est déjà prévu pour qu'il s'installe silencieusement.

Pour éditer le paquet ou tester son installation en local pour valider le processus, il faut cliquer sur "Éditer manuellement". Dans ce cas, vous devez disposer d'un IDE sur votre machine, par exemple PyScripter. C'est un bon moyen de tester l'installation et la désinstallation du logiciel avant de déployer le logiciel à grande échelle.

Vous remarquerez qu'il est possible d'ajuster la maturité du paquet : DEV, PREPROD et PROD, idéale pour gérer ses phases de déploiement.

Le paquet apparaît bien dans notre dépôt privé :

Pour le déployer sur nos postes clients, il y a plusieurs façons de faire : attribution sur une OU, attribution directe sur la machine ou encore utilisation du store Self-Service (nous y reviendrons). Pour automatiser le déploiement, l'idée c'est de créer une dépendance entre les machines cibles et le paquet à installer.

Par exemple, effectuez un clic droit sur l'OU "PC" puis "Créer ou éditer le paquet de l'Unité Organisationnelle".

Il ne reste plus qu'à attribuer notre paquet TightVNC et à valider. Pour cela, il faut sélectionner le paquet à droite et cliquer sur "Ajouter des dépendances au paquet".

Après avoir lancé une actualisation de l'état du poste client, il apparaît avec le statut "TO-UPGRADE" : en effet, le paquet TightVNC n'est pas encore installé sur cette machine.

En cliquant sur le bouton "Lancer les installations", la tâche s'exécute immédiatement sur le poste client. D'ailleurs, dans l'onglet "Tâches" de notre poste client, on peut suivre toutes les étapes une par une. Au moins s'il y a une erreur ou un blocage, on pourra identifier plus facilement le problème (et à distance).

Après quelques secondes, l'installation est terminée et sur notre machine Windows 10, le logiciel TightVNC est bien installé ! 👍

Voilà, nous venons de déployer un logiciel en quelques minutes à l'aide de WAPT Enterprise.

V. Un store d'applications Self-service pour vos utilisateurs

💡 La fonctionnalité "WAPT Self Service" est une possibilité supplémentaire pour mettre à disposition des logiciels sur votre parc informatique. En fait, sur chaque machine où l'agent WAPT est installé, il y a un outil nommé "Self service logiciels WAPT" qui est déployé. Il correspond à un magasin d'applications interne à votre entreprise : vous pouvez mettre à disposition de vos utilisateurs des logiciels, et ils peuvent effectuer l'installation en autonomie, sans les droits administrateurs !

Cette fonctionne s'appuie sur des règles de Self-service. Pour créer une règle : au sein de l'onglet "Dépôt privé", il faut cliquer sur "Générer un modèle de paquet" puis sur "Règles Self-Service".

Ensuite, on donne un nom à cette règle et on doit préciser :

  • Les groupes d'utilisateurs : c'est-à-dire le nom d'un ou plusieurs groupes AD auxquels on veut rattacher cette règle. Dans mon exemple, le groupe AD "IT-Connect" : tous les membres de ce groupe auront accès, via le store, aux applications que je vais attribuer à cette règle
  • Paquets activés : la ou les applications (paquets) à autoriser via cette règle. Dans cet exemple, le paquet "itconnect-tightvnc" qui correspond au logiciel TightVNC

Lorsque la configuration est terminée, on clique sur "Enregistrer".

Sur le poste client Windows 10, j'ouvre WAPT Self-Service, je me connecte avec mon compte utilisateur Active Directory et je me retrouve avec TightVNC à ma disposition. Une zone de recherche permet de retrouver facilement un paquet lorsqu'il y en a des dizaines de publiés dans votre store d'entreprise. Par ailleurs, il y a quelques filtres accessibles directement sur la gauche.

Vous pouvez suivre cette vidéo officielle pour en savoir plus cette fonctionnalité :

VI. Conclusion

Cette découverte de WAPT touche à sa fin. Cette solution est très complète et son utilisation ne peut pas se résumer à un seul article. WAPT Enterprise est une solution certifiée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), elle bénéficie d'un Visa de sécurité et de la certification CSPN ce qui est un gage de qualité en matière de sécurité.

Maintenant, à vous de jouer : Demander un essai WAPT

N'hésitez pas à laisser un commentaire sur cet article si vous avez des questions, ou si vous aimeriez un article sur une fonction spécifique de WAPT 😉.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3218 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.