Configurer WiKID 4.0 — Quick-setup

TL;DR

Suivez ces étapes : copiez le fichier d’exemple, adaptez les paramètres réseau et certificats, lancez la commande quick-setup puis démarrez le service. Après installation, vérifiez l’interface WiKIDAdmin et installez vos tokens. Conservez la passphrase en lieu sûr et supprimez les secrets en clair après configuration.

Introduction

La version 4.0 du WiKID Strong Authentication System apporte deux nouveautés principales : la gratuité pour jusqu’à 5 utilisateurs (idéal pour usages domestiques, petites entreprises ou tests longue durée) et un système de configuration rapide (« quick-setup »). Cette procédure transforme un simple fichier texte en un serveur d’authentification à deux facteurs opérationnel. Ce tutoriel détaille chaque étape, les paramètres importants, les bonnes pratiques de sécurité et des listes de vérification par rôle.

Prérequis rapides

Accès root ou droits sudo sur le serveur.
PostgreSQL installé et accessible par WiKID.
Accès réseau interne/externe selon votre topologie (IP publique/privée selon cas d’usage).

Étape 1 — Copier le fichier d’exemple

Exécutez la commande suivante pour placer le fichier de configuration dans votre répertoire :

# cp /opt/WiKID/conf/sample-quick-setup.properties wikid.conf

Puis éditez ce fichier avec votre éditeur favori :

# vim wikid.conf

Étape 2 — Comprendre et remplir les paramètres

Analyse ligne par ligne des champs les plus importants. Les lignes débutant par un point-virgule (;) sont des commentaires.

; passphrase for protecting certs --------------------------------------  
passphrase=protectme  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

Important : cette passphrase protège les certificats d’évaluation du serveur. Ne la perdez pas : elle est nécessaire pour démarrer le service ou pour placer la clé dans /etc/WiKID/security. Après avoir finalisé la configuration, supprimez la passphrase en clair du fichier et placez-la dans un emplacement sécurisé.

; name to give the domain ----------------------------------------------  
domainname=mydomain

Nom affiché pour le domaine WiKID (visible sur les tokens). Choisissez un libellé générique et reconnaissable, p.ex. « Auth-Entreprise X ».

; IP of the server -----------------------------------------------------  
domainip=127.0.0.1

Adresse IP externe du serveur (ou interne si l’accès est restreint). Les tokens doivent pouvoir joindre cette adresse.

; 0-Padded IP without dots ---------------------------------------------  
domaincode=127000000001

Code de domaine à saisir une seule fois lors de la configuration des tokens. Il est zéro-padé pour simplifier la saisie. Il n’a pas besoin d’être secret : la sécurité vient du processus d’enregistrement.

; full hostname of the server; can be same as cn value ----------------------  
hostname=localhost.localdomain

Nom de domaine pleinement qualifié du serveur (FQDN).

; information for setting up a RADIUS host  
radiushostip=10.1.2.3  
radiushostsecret=mysharedsecret  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY

Configure un client RADIUS sur le serveur WiKID (par exemple NPS, FreeRADIUS ou le service authentifiant via WiKID : VPN, serveur web, passerelle SSH). Après configuration, stockez le secret de façon sécurisée et retirez le du fichier en clair.

; optionally create an extra host cert for wauth; leave blank if not needed  
wauthhostip=

Adresse IP d’un client wAuth (API) si applicable. Laissez vide si non utilisé.

; cert properties ------------------------------------------------------  
; administrative email for this server  
[email protected]  
; hostname of server  
cn=localhost.localdomain  
; organization/company name  
o=myorganization  
; department or other OU  
ou=mydepartment  
; city  
l=mylocation  
; full name of state  
st=mystate  
; 2-letter country code  
c=us

Ces champs servent à générer le certificat serveur. Ils doivent être uniques et cohérents si vous prévoyez de convertir le certificat d’évaluation en certificat de production.

Étape 3 — Lancer la configuration rapide

Enregistrez vos modifications, puis lancez :

# wikidctl quick-setup configfile=wikid.conf

Pendant l’exécution, vous verrez des sorties d’état semblables à :

----------------------------------------------  
= Checking for valid args ...  
= Make sure Pg is running ...  
= Checking if DB exists ...NO!  
== Setting up new DB ...  
log4j:WARN No appenders could be found for logger (com.mchange.v2.log.MLog).  
log4j:WARN Please initialize the log4j system properly.  
== Got Pg connection ...  
= Setting up intermediate CA cert ...  
= Submitting intermediate CA CSR ...  
= Creating Tomcat cert ...  
= Installing intermediate CA cert ...  
== Intermediate cert installation completed!  
= Setting up cert for localhost ...  
== Setting up localhost settings ...  
== RADIUS host does not exist!  
== Setting up wAuth client ...  
= Setting up cert for 10.100.0.112 ...  
== Setting up non-localhost settings ...  
== Domain exists! 1  
== Adding keys ...

Ces messages confirment la création de la base de données, des certificats intermédiaires et des entrées RADIUS/wAuth.

Étape 4 — Démarrer le serveur

# wikidctl start

Puis ouvrez l’interface WiKIDAdmin à l’adresse : https://yourserver.com/WiKIDAdmin/ . Vous devriez voir le domaine créé, le client réseau RADIUS configuré et les certificats installés. Installez ensuite vos tokens WiKID et enregistrez les utilisateurs.

Vérification post-installation

Confirmez que PostgreSQL est actif et accessible.
Vérifiez les certificats dans l’UI WiKIDAdmin.
Testez une authentification RADIUS via votre VPN ou service ciblé.
Vérifiez les logs pour erreurs pendant le démarrage.

Bonnes pratiques de sécurité (Important)

Ne laissez jamais de secrets (passphrase, radiushostsecret) en clair dans des fichiers accessibles ; déplacez-les dans /etc/WiKID/security ou un coffre-fort secret.
Changez les mots-clés temporaires et supprimez les valeurs d’exemple.
Sauvegardez régulièrement la base de données et les certificats.
Limitez l’accès réseau aux ports nécessaires et appliquez une politique de pare-feu.

Scénarios où cela peut échouer et diagnostics rapides

Échec de connexion à PostgreSQL : vérifier service Pg, utilisateurs/ports et firewall.
Erreur de certificat : vérifier que les valeurs CN/Country/Organization sont uniques et correctement formatées.
Service inaccessible depuis tokens : vérifier domainip / domaincode et routage entre clients et serveur.
RADIUS non fonctionnel : valider shared secret et que le client RADIUS pointe bien vers WiKID.

Alternatives et approches complémentaires

Installation manuelle via l’interface WiKIDAdmin si vous préférez configurer chaque option pas à pas.
Utiliser une VM de test isolée pour valider la configuration avant migration en production.
Pour environnements plus larges (>5 utilisateurs), planifier la conversion du certificat d’évaluation en licence payante.

Mini-méthodologie (checklist rapide)

Copier le fichier d’exemple.
Remplir passphrase, domainname, domainip, domaincode, hostname.
Configurer radiushostip et radiushostsecret si nécessaire.
Vérifier les propriétés du certificat (CN, O, C).
Lancer wikidctl quick-setup.
Démarrer le service et tester via WiKIDAdmin.

Checklist par rôle

Administrateur système : vérifier PostgreSQL, pare-feu, sauvegardes.
Administrateur sécurité : valider gestion des secrets et rotation de clés.
Opérateur réseau : vérifier l’accessibilité IP/ports entre tokens et serveur.
Responsable applicatif : tester intégration RADIUS avec VPN/SSH/Google Apps.

Critères d’acceptation

Le domaine apparaît dans WiKIDAdmin.
Les certificats intermédiaires et locaux sont installés sans erreur.
Le client RADIUS authentifie un test utilisateur.
Les tokens peuvent s’enregistrer et générer des OTP valides.

Fiche pratique — points clés

Sauvegardez la passphrase et supprimez-la du fichier de configuration.
Testez en environnement isolé avant mise en production.
Documentez les adresses IP et secrets utilisés dans un coffre-fort.

Remarques sur la confidentialité et conformité

WiKID stocke uniquement les informations nécessaires à la génération de certificats et à l’identification du serveur. Protégez les données d’identité (CN, email) conformément à vos politiques internes et au RGPD si vous traitez des données personnelles d’utilisateurs situés dans l’UE.

Résolution d’incidents (runbook court)

Vérifier les logs de wikidctl et PostgreSQL.
Valider que les certificats ne sont pas expirés.
Redémarrer les services : PostgreSQL puis WiKID.
Restaurer la base depuis sauvegarde si nécessaire.

Ressources et téléchargement

Vous pouvez télécharger le serveur WiKID Strong Authentication ici :

WiKID Strong Authentication server download

Résumé

Ce guide montre comment utiliser l’option quick-setup de WiKID 4.0 : copier l’exemple, compléter les paramètres réseau et certificats, lancer wikidctl quick-setup, démarrer le service et valider via WiKIDAdmin. Protégez les secrets, testez les intégrations et suivez les checklists par rôle pour une mise en œuvre réussie.

Important : conservez la passphrase en lieu sûr et retirez toute information sensible du fichier de configuration après la mise en service.

Comment configurer WiKID Strong Authentication 4.0 avec l'option Quick-setup