Document FAQ Supervision et infrastructure - Accès aux EXP Page: 1 / 39
Table des matières Introduction... 3 Windows Remote Management (WinRM)...4 I.Mise en place rapide... 4 II.Préconisations... 4 III.Configuration du service... 5 IV.Configuration du mode d'authentification «SPNEGO»...6 V.Configuration du mode d'authentification «Basic / Unencrypted»...6 VI.Configuration du mode d'authentification «Basic / Encrypted»...6 A.Installation du certificat... 6 VII.Ports... 13 VIII.Utilisateur système... 14 A.Paramètres requis... 14 B.Paramètres optionnels... 14 IX.Tests... 15 A.Connexion non sécurisée : «SPNEGO» ou «Basic Unencrypted»...15 B.Connexion sécurisée : «Basic Encrypted»...15 X.Configuration du portail... 16 XI.Spécificités avec Windows XP / server 2003...16 Windows Management Instrumentation (WMI)...17 I.Préconisations... 17 II.Service WMI... 17 III.Composants Windows... 17 IV.Ports... 18 A.Port d'authentification... 18 B.Réduire la plage de ports DCOM (optionnel)...18 V.Utilisateur système... 20 A.Création... 20 B.Windows server 2000... 23 C.Windows server 2003... 24 D.Windows server 2008... 26 VI.Droits WMI... 29 VII.Cas particulier avec Windows 2000 Server...33 VIII.Test de connexion manuel... 34 IX.Configuration du portail... 39 Page: 2 / 39
Introduction L'objectif de ce document est d'aider les techniciens à paramétrer un accès sur les afin de les superviser à distance via le moteur Koaly EXP. Cet accès permettra également d'effectuer automatiquement l'inventaire des serveurs. Il est recommandé d'utiliser le protocole WinRM afin de superviser et/ou d'inventorier les server 2008 ou supérieur. Il est recommandé d'utiliser le protocole WinRM afin de superviser et/ou d'inventorier les server 2003, Windows XP. Pour ces systèmes, des composants spécifiques doivent être installés (voir plus bas). Le protocole WMI est nécessaire pour se connecter aux qui ne supportent pas le protocole «WinRM» (Windows 2000 server). Page: 3 / 39
Windows Remote Management (WinRM) I. Mise en place rapide Si vous souhaitez mettre en place rapidement un accès WinRM au système Windows à superviser vous pouvez suivre les étapes suivantes. 1. Se connecter au serveur à superviser 2. Ouvrir une fenêtre de commande (cmd classique) 3. Exécuter les 3 commandes ci-après (répondre «y» à la première commande si une réponse est attendue) winrm quickconfig winrm set winrm/config/service/auth @{Basic="true"} winrm set winrm/config/service @{AllowUnencrypted="true"} L'accès WinRM sera ouvert (port 5985). Il s'agit d'un accès non encrypté, si vous souhaitez mettre en place un accès encrypté (SSL), reportez-vous à la procédure ci-après. Attention : Assurez-vous que le port utilisé par WinRM est bien disponible (pour certaines versions de Windows, les ports par défaut sont 80 ou 443). Nous recommandons d'utiliser les ports 5985 (mode non SSL) et 5986 (mode SSL). Afin de vérifier le port d'écoute, lancer la commande suivante. winrm e winrm/config/listener Listener Address = * Transport = HTTP Port = 5985 II. Préconisations Il est recommandé d'utiliser le protocole WinRM afin de superviser et/ou d'inventorier les server 2003 ou supérieur. Plusieurs modes d'authentification sont possibles en fonction du système d'exploitation sur lequel est installé le serveur et en fonction de l'appartenance ou non à un domaine. Trois modes sont décrits dans le présent document. Le tableau ci-après indique les modes d'authentification compatibles avec les différentes architectures. En fonction de votre architecture, il faut sélectionner un mode d'authentification compatible. Page: 4 / 39
Moteur Koaly EXP Serveur Windows cible Compatibilité du mode d'authentification SPNEGO Basic Unencrypted Basic encrypted Linux - Non Oui Oui Windows Dans le domaine Dans le domaine Oui Oui Oui Hors du domaine Non Oui Oui Hors du domaine Dans le domaine Non Oui Oui Hors du domaine Oui Oui Oui Notes : Le mode d'authentification «SPNEGO» est le plus simple à mettre en œuvre mais il ne fonctionne pas dans tous les cas (notamment si le moteur Koaly EXP est installé sur un serveur Linux). Le mode d'authentification «Basic Unencrypted» fonctionne dans tous les cas mais n'est pas recommandé car les données transitent par le réseau sans être encryptées. Le mode d'authentification «Basic Encrypted» est recommandé car il fonctionne dans tous les cas et est sécurisé. III. Configuration du service Quelque soit le mode d'authentification sélectionné, il faut configurer le service «Windows Remote Management (WS-Management)». Se connecter au serveur cible avec le compte «administrator» (il faut impérativement utiliser ce compte pour effectuer la configuration). Ouvrir une fenêtre de commande en tant qu'administrateur. Contrôler la configuration WinRM en exécutant la commande suivante. winrm get winrm/config/service Si la commande retourne la liste des paramètres de configuration (exemple ci-après). Le service WinRM est déjà opérationnel, il faut passer à l'étape suivante. Service RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD) MaxConcurrentOperations = 4294967295 MaxConcurrentOperationsPerUser = 15... Si la commande retourne un message d'erreur, paramétrer et démarrer le service WinRM en exécutant le commande suivante. Cette commande démarre le service «Windows Remote Management (WS- Management)» et le configure afin de le lancer automatiquement. Elle configure également un port d'écoute HTTP (port 5985) et met à jour les règles du pare-feu afin de le rendre accessible. Page: 5 / 39
winrm quickconfig IV. Configuration du mode d'authentification «SPNEGO» Aucune configuration n'est nécessaire, ce mode d'authentification à WinRM fonctionne avec la configuration par défaut. Exécuter la commande suivante afin de vérifier la configuration. winrm get winrm/config/service/auth Contrôler le paramètre «Kerberos», sa valeur doit être «true». Auth Basic = false Kerberos = true Negotiate = true Certificate = false CredSSP = false CbtHardeningLevel = Relaxed Si cette valeur n'est pas «true», exécuter la commande suivante. winrm set winrm/config/service/auth @{Kerberos="true"} V. Configuration du mode d'authentification «Basic / Unencrypted» Exécuter la commande suivante afin d'autoriser le mode d'authentification «Basic». winrm set winrm/config/service/auth @{Basic="true"} Exécuter la commande suivante afin d'autoriser le mode d'authentification non encrypté. winrm set winrm/config/service @{AllowUnencrypted="true"} VI. Configuration du mode d'authentification «Basic / Encrypted» A. Installation du certificat 1. Utilisation d'un serveur de certificats Si vous disposez d' un serveur de certificats, utiliser le guide proposé par Microsoft (http://support.microsoft.com/kb/2019527) afin d'installer ce certificat sur le serveur à superviser. 2. Création manuelle d'un certificat Si vous ne disposez pas d'un serveur de certificats, il faut généré un certificat manuellement et l'installer sur le serveur à superviser. Page: 6 / 39
Installation de selfssl.exe Afin de créer le certificat, il faut disposer de l'utilitaire «selfssl.exe». Cet utilitaire fait partie du Kit de ressources Microsoft IIS 6.0 (http://support.microsoft.com/kb/840671/) Si le Kit de ressources est installé sur le serveur à superviser, l'utilitaire se trouvera dans l'un des répertoires suivants. C:\Program Files (x86)\iis Resources\SelfSSL\selfssl.exe C:\Program Files\IIS Resources\SelfSSL\selfssl.exe Si le Kit de ressources n'est pas installé sur le serveur à superviser, vous pouvez copier l'utilitaire «selfssl.exe» depuis un autre serveur ou le télécharger depuis https://download.koaly.com/tools/certificates/ Création du certificat Lancer «selfssl.exe» depuis une fenêtre de commande. cd {répertoire de selfssl} selfssl.exe /V:365 /T Confirmer : Y Note : Ne pas ternir compte du message d'erreur (il est généré si le Kit de ressources n'est pas installé) Récupération des données «Thumbprint» Ouvrir le menu «Start / Run». Démarrer la console MMC. Ouvrir le menu «Add / Remove Snap-in...». Page: 7 / 39
Sélectionner le «Snap-in» «Certifcates». Sélectionner «Computer account». Sélectionner «Local computer». Le certificat qui vient d'être créé se trouve dans la branche «Certificates / Personal / Certificates». Ce certificat porte le nom du serveur. Ouvrir le certificat (double-click) Page: 8 / 39
Au niveau de l'onglet «Details», sélectionner le champ «Thumbprint» et copier (presse-papier) la valeur affichée dans le champ situé sous la liste. Création du listener HTTPS WinRM Depuis une fenêtre de commande, exécuter la commande suivante en remplaçant les éléments entre «<>». winrm create winrm/config/listener?address=*+transport=https @{Hostname="<nom du serveur>";certificatethumbprint="<valeur de thumbprint sans les espaces>"} Exemple de commande : winrm create winrm/config/listener?address=*+transport=https @{Hostname="- TEST";CertificateThumbprint="a7f29479db2d462cf8191567cdbe935ae3200562"} Note : Il faut bien s'assurer que tous les espaces de la valeur de thumbprint ont bien été supprimés. Afin de contrôler le listener, exécuter la commande suivante. winrm e winrm/config/listener Contrôler les éléments surlignés. S'assurer que le thumbprint correspond bien au certificat créé. Listener Address = * Page: 9 / 39
Transport = HTTPS Port = 5986 Hostname = -TEST Enabled = true URLPrefix = wsman CertificateThumbprint = a7f29479db2d462cf8191567cdbe935ae3200562 ListeningOn = 127.0.0.1, 172.16.42.226, ::1, 2001:0:5ef5:73b8:142c:140:53ef:d51d,fe80::5efe:172.1 6.42.226%13, fe80::142c:140:53ef:d51d%11# Configuration du pare-feu Ouvrir le gestionnaire de pare-feu Windows (Control Panel System and Security Windows Firewall Advanced Settings). Créer une nouvelle règle d'autorisation entrante. Sélectionner le type «Port». Page: 10 / 39
Sélectionner le protocole «TCP» et spécifier le port «5986» Autoriser les connexions. Autoriser tous les réseaux. Nommer la règle. Page: 11 / 39
Editer la règle. Ouvrir l'onglet «Programs and Services». Indiquer le programme «System» puis sauvegarder. 3. Autoriser le mode d'authentification «Basic» Exécuter la commande suivante afin d'autoriser le mode d'authentification «Basic». winrm set winrm/config/service/auth @{Basic="true"} Exécuter la commande suivante afin de vérifier la configuration. winrm get winrm/config/service Contrôler les valeurs des paramètres surlignés. Service RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GWGX;;;WD)... MaxPacketRetrievalTimeSeconds = 120 AllowUnencrypted = false Auth Basic = true Kerberos = true Negotiate = true Certificate = false CredSSP = false CbtHardeningLevel = Relaxed DefaultPorts HTTP = 5985 HTTPS = 5986 Page: 12 / 39
4. Suppression du listener HTTP Si vous souhaitez supprimer le listener HTTP (car vous utilisez le listener HTTPS), il faut utiliser la commande suivante. winrm delete winrm/config/listener?address=*+transport=http Afin d'obtenir la liste des listeners exécuter la commande suivante. winrm e winrm/config/listener VII. Ports Le port à ouvrir dépend du mode d'authentification : Mode d'authentification SPNEGO 5985 Basic Unencrypted 5985 Basic Encrypted 5986 Port Attention : Assurez-vous que le port utilisé par WinRM est bien disponible (pour certaines versions de Windows, les ports par défaut sont 80 ou 443). Nous recommandons d'utiliser les ports 5985 (mode non SSL) et 5986 (mode SSL). Afin de vérifier le port d'écoute, lancer la commande suivante. winrm e winrm/config/listener Listener Address = * Transport = HTTP Port = 5985 Ou Listener Address = * Transport = HTTPS Port = 5986 Page: 13 / 39
VIII. Utilisateur système A. Paramètres requis Au niveau du serveur à superviser, créer un utilisateur système protégé par un mot de passe n'expirant jamais. L'utilisateur doit être membre du groupe «Administrators» B. Paramètres optionnels Ne pas connecter les périphériques Page: 14 / 39
Désactiver la prise de contrôle à distance via «Remote Desktop Services». IX. Tests Les tests de connexion au serveur à superviser doivent être effectués depuis une machine avec un système d'exploitation Windows (Vista, 7, server 2008 ou supérieur). A. Connexion non sécurisée : «SPNEGO» ou «Basic Unencrypted» Ouvrir une fenêtre de commande en tant qu administrateur. Exécuter la commande suivante, le mot de passe de l'utilisateur doit être demandé par le serveur cible. winrm g winrm/config/service -r:http://<serveur cible>:5985 -u:<utilisateur> B. Connexion sécurisée : «Basic Encrypted» Ouvrir une fenêtre de commande en tant qu administrateur. Exécuter la commande suivante, le mot de passe de l'utilisateur doit être demandé par le serveur cible. winrm g winrm/config/service -r:https://<serveur cible>:5986 -u:<utilisateur> -skipcacheck Page: 15 / 39
X. Configuration du portail Au niveau du portail Koaly EXP, afin de saisir les informations de connexion au serveur, suivre la procédure ci-après. 1. Se rendre dans le menu «Infrastructure / Equipements / Gestion» 2. Ouvrir (mode modification) le serveur cible 3. Au niveau de l'onglet «Supervision», renseigner les champs suivants Nom DNS Cluster Identifiant Champ Mot de passe Type de connexion Port Remarques Cocher cette case si le serveur est le noeud logique d'un cluster Si cette case est cochée le superviseur n'utilisera pas les connexions persistantes WinRM 5985 (mode d'authentification SPNEGO) 5985 (mode d'authentification Basic Unencrypted) 5986 (mode d'authentification Basic Encrypted) SSL Cocher cette case pour le mode «Basic Encrypted» Délai de connexion 10 secondes par défaut, augmenter ce délai si la connexion au serveur est lente 4. Sauvegarder XI. Spécificités avec Windows XP / server 2003 Afin de se connecter à Windows XP / server 2003 via WinRM, les composants suivants doivent être installés sur l'équipement cible : Installer.NET framework 3.5 Visual C++ 2012 redistributable WS-Management v1.1 package: http://support.microsoft.com/kb/936059 Windows Management Framework Core http://support.microsoft.com/kb/968930 Page: 16 / 39
Windows Management Instrumentation (WMI) I. Préconisations Ce protocole est nécessaire pour se connecter aux qui ne supportent pas le protocole «WinRM». Le moteur de supervision Koaly EXP doit être installé sur un système Windows (server 2003 ou supérieur) afin de permettre l'utilisation de ce protocole. II. Service WMI Le service «Windows Management Instrumentation» doit être démarré au niveau du serveur à superviser. III. Composants Windows Pour Windows server 2003, si vous souhaiter effectuer un inventaire automatique des logiciels installés sur l'équipement cibe, il faut installer le composant Windows «WMI Windows Installer Provider» au niveau de «Add/Remove programs / Windows components / Management and monitoring tools» Page: 17 / 39
IV. Ports A. Port d'authentification Le port 135 doit être ouvert afin de permettre l'authentification via WMI. Après l'authentification, le protocole WMI utilise un second port DCOM qui peut être un port parmi une large plage de ports. B. Réduire la plage de ports DCOM (optionnel) Afin de réduire la plage de ports DCOM, il faut modifier une entrée dans la base de registre du système Windows à superviser. Ouvrir la base de registre. Page: 18 / 39
Ouvrir la clé suivante (si elle n'existe pas, il faut la créer). HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Rpc / Internet Modifier ou créer les valeurs suivantes Name: Ports Type: REG_MULTI_SZ (sélectionner REG_SZ si REG_MULTI_SZ n'est pas proposé) Value: 9700-9702 (au moins 3 ports doivent être autorisés, dans cet exemple on autorise les ports 9700, 9701 et 9702) Name: PortsInternetAvailable Type: REG_SZ Value: Y Name: UseInternetPorts Type: REG_SZ Value: Y Après cette opération, le système doit être redémarré. Attention lors de la réduction de la plage de ports DCOM, d'autres applications que EXP peuvent utiliser ce protocole et être impactées. Page: 19 / 39
V. Utilisateur système A. Création Au niveau du serveur à superviser, ouvrir le menu de gestion du système. Page: 20 / 39
Sélectionner le gestionnaire d'utilisateurs. Créer un utilisateur. Page: 21 / 39
Sélectionner les options suivantes: L'utilisateur ne peut pas changer de mot de passe Le mot de passe n'expire jamais Le nouvel utilisateur apparaît dans la liste. Ouvrir les propriétés de l'utilisateur. Page: 22 / 39
B. Windows server 2000 Si la version du système est «Windows 2000» (server, workstation...) ou «WINDOWS XP» (home, pro...), l'utilisateur du superviseur a besoin que d'être membre du groupe «Users» (il est nécessaire de paramétrer les droits WMI, voir plus bas). Page: 23 / 39
C. Windows server 2003 Si la version du système est «WINDOWS 2003 server» avant le premier service pack, l'utilisateur a besoin d'être membre des groupes «Users» et «Performance Monitor Users» (il est nécessaire de paramétrer les droits WMI, voir plus bas). Page: 24 / 39
Si la version du système est «Windows server 2003» égale ou supérieure au premier service pack, l'utilisateur a besoin d'être membre du groupe «Administrators» (il n'est pas nécessaire de paramétrer les droits WMI). Page: 25 / 39
D. Windows server 2008 Si la version du système est «Windows server 2008», l'utilisateur a besoin d'être membre du groupe «Administrators» (il n'est pas nécessaire de paramétrer les droits WMI). Il faut également passer la commande suivante : cmd /c reg add HKLM\ SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\system / v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f Page: 26 / 39
Il faut désactiver le contrôle des comptes utilisateurs (UAC). Ouvrir le panneau de configuration. Sélectionner le menu de gestion des utilisateurs. Page: 27 / 39
Sélectionner le menu des paramètres «Change User Account» (UAC). Sélectionner le niveau «Never notify». Sauvegarder. Le serveur doit être redémarré après cette opération. Page: 28 / 39
VI. Droits WMI Afin de paramétrer les droits WMI (seulement si l'utilisateur n'est pas membre du groupe «Administrators»), sélectionner la console de gestion WMI. Ouvrir les propriétés WMI. Page: 29 / 39
Au niveau de l'onglet de sécurité, sélectionner la branche «Root» et ouvrir le menu de sécurité. Ajouter un utilisateur. Page: 30 / 39
Sélectionner l'utilisateur de supervision dans la liste. Page: 31 / 39
Allouer les droits suivants: Enabe Account Remote Enable Page: 32 / 39
VII. Cas particulier avec Windows 2000 Server Il existe un cas particulier avec Windows 2000 Server si 3 conditions sont remplies: 1. Le moteur EXP tourne sur un serveur avec un système d'exploitation Windows 2000 Server. 2. Le serveur à superviser utilise un système d'exploitation Windows 2000 Server. 3. Le moteur EXP et le serveur à superviser ne sont pas sur le même réseau. Dans ce cas, il faut modifier le fichier hosts du serveur sur lequel tourne le moteur EXP. Editer le fichier «c:\windows\system 32\drivers\etc\hosts». Ajouter les informations suivantes pour le serveur à superviser: adresse IP, nom du serveur (comme dans le portail EXP), suffixe DNS Par exemple: 168.0.1.26 monserveur monserveur.mondomaine.com Page: 33 / 39
VIII. Test de connexion manuel Au niveau du serveur de supervision EXP, lancer le menu de ligne de commande Windows. Exécuter la commande suivante: wbemtest Page: 34 / 39
Sélectionner le menu «Connect...». Page: 35 / 39
Renseigner les champs comme suit: Server \ Namespace: User: Password: Impersonate level: Authentication level: \\nom du serveur distant ou IP\root\CIMV2 Nom d'utilisateur (Accès Windows distant) Mot de passe (Accès Windows distant) Impersonate Packet Sélectionner "Login". Page: 36 / 39
Si l'accès fonctionne, l'écran suivant apparaît. Si le message d'erreur suivant apparaît: le nom d'utilisateur et/ou le mot de passe sont faux. Si le message d'erreur suivant apparaît: le serveur distant n'est pas accessible (le service WMI n'est pas actif, ou le service RPC n'est pas actif, ou le serveur n'est pas actif, ou le nom/ip n'est pas correct, ou les autorisations réseau ne permettent pas les connexions). Page: 37 / 39
Si l'accès est opérationnel, contrôler les droits. Sélectionner le menu «Query». Exécuter la requête: SELECT * FROM Win32_ComputerSystem Page: 38 / 39
Si le résultat est similaire, les droits sont corrects. Sinon, les droits sont insuffisants. IX. Configuration du portail Au niveau du portail Koaly EXP, afin de saisir les informations de connexion au serveur, suivre la procédure ci-après. 5. Se rendre dans le menu «Infrastructure / Equipements / Gestion» 6. Ouvrir (mode modification) le serveur cible 7. Au niveau de l'onglet «Supervision», renseigner les champs suivants Champ Nom DNS Cluster Identifiant Mot de passe Type de connexion Délai de connexion Remarques Cocher cette case si le serveur est le noeud logique d'un cluster Si cette case est cochée le superviseur n'utilisera pas les connexions persistantes WMI 10 secondes par défaut, augmenter ce délai si la connexion au serveur est lente 8. Sauvegarder Fin du document Page: 39 / 39