Page 1 sur 2
[RESOLU] Self Service Vide
Publié : 01 mars 2023 - 11:25
par jdziadek
Hello, j'ai un soucis avec le self service. ( WAPT entreprise )
J'ai créé un paquet d'UO à la racine de mon organisation, dedans j'ai mit un paquet générique de self-service, et des groupes dans ce paquet. Tout est en minuscule sur l'AD et dans WAPT
app_toto : tout les usagers peuvent voir les logiciels dedans ( groupe tout le monde dans l'AD )
app_toto_admin : Tout les membres du groupe admin sont dans le groupe AD
Donc forcement, les membres de l'admin on accès aux derniers règles, et bien j'ai par exemple un membre du groupe admin qui a le store vide. Alors qu'un autre membre a bien toutes les apps. Les 2 ont exactement la meme conf de machine, et sur l'AD pareil, bien membre des mêmes groupes, j'avoue que je seche.
J'ai raté quelque chose?
Question subsidiaire, j'ai une personne qui a une erreur "unhandled error" lorsqu'il veut se connecter à la console.
où on peut trouver les logs de la console? Depuis la console on peut pas récup les logs d'un client?
Re: Self Service Vide
Publié : 01 mars 2023 - 11:55
par sfonteneau
Bonjour
Le problème est différent en fonction de votre configuration
Il y a plusieurs mode :
celui par défault sur l'agent, le mode system (l"identifiant/password) est passer au system et c'est le system qui fait la calcule des group et qui vérifie l'identifiant password:
L'autre mode : waptserver-ldap, l'identifiant/password est passer au serveur wapt et c'est le serveur wapt qui va faire une request ldap pour vérifier l'identifiant mot de passe de l'utilisateurs est les groupe dont il est membre:
Le dernier mode : waptserver-ldap + kerberbos
Ce mode permet un authentification transparente au server wapt et ne demande pas de mot de passe a l'utilisateur. (c'est toujours du ldap qui est fait coter serveur wapt mais cette fois la connexion est faite avec un compte de service.
pouvez-vous nous confirmer que vous êtes dans le mode par défault ?
https://www.wapt.fr/fr/doc/wapt-advance ... tification
Simon
Re: Self Service Vide
Publié : 01 mars 2023 - 11:58
par jdziadek
merci de la réponse rapide, je suis dans le cas par défaut.
Par contre en fouillant je vois que la conf de mes clients wapt ( wapt-get.ini ) est différente, j'essaye d'uniformiser pour voir si cela change des choses.
Julien
Re: Self Service Vide
Publié : 01 mars 2023 - 15:22
par jdziadek
Bon, j'ai refait une install propre en purgeant les anciennes conf, toujours rien.
Sur une autre machine j'ai fais la même chose, et la ca fonctionne. Il doit donc avoir un soucis dans la conf de sa machine mais je vois pas quoi.
Un fichier de log est-il lié au self service que je peux consulter?
Re: Self Service Vide
Publié : 01 mars 2023 - 17:21
par sfonteneau
vous aurez peu être quelque chose dans C:\Program Files (x86)\wapt\log\waptservice.log
Quand on est en compte system (vous êtes sur une machine windows ?) , windows va interroger l'ad en temps réel pour vérifier le passer les groupes. L'ad est bien dispo ?
Pour faire le test en pure python vous pouvez essayer ceci
cela va renvoyer True si l"utilisateur est bien membre du groupe
Code : Tout sélectionner
C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb 9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True
Si ça marche ici c'est que le problème est ailleurs
Re: Self Service Vide
Publié : 01 mars 2023 - 17:40
par jdziadek
Oui oui je suis bien en Windows, par contre je viens de me souvenir qu'on a migré sur un domaine windows l'année dernière, et qu'on a converti les profils locaux en profil domaine. Si j'ai bien compris le cheminement :
Pour l'authentification au self-service, WAPT va utiliser le compte local sur la machine, et ensuite interroger l'AD pour les droits?
Donc sur une machine si j'ai monuser et monuser.mondomaine.lan il est possible que ca fasse un petit conflit si par exemple le login de monuser est different de celui du compte sur le domaine?
Re: Self Service Vide
Publié : 02 mars 2023 - 10:44
par sfonteneau
Par défault domain est a vide ""
Le code wapt lui gère le domaine si vous passez votre nom d'utilisateur avec "MYDOMAIN\username" ou "
username@mydomain.lan"
Si le domaine est mis sur vide "" et donc windows se débrouille et donc dans le cas d'un compte local qui existe avec le même nom d'utilisateur que celui du domaine il y a de forte chance que ça merde.
windows va d'abord essayer localement. si le mot de passe est identique au comte local, alors ça marche.
Sauf que votre compte local n'est pas membre du groupe du domaine
Re: Self Service Vide
Publié : 02 mars 2023 - 10:52
par jdziadek
Ok, c'est a peu prêt ce que je pensais.
J'avais déjà configuré l'authentification LDAP sur le serveur pour la console. Si j'active l'authentification des agents ca va bypass l'utilisateur local et envoyer la requete au serveur qui lui va s'authentifier?
J'ai juste à rajouter les lignes dans le wapt-conf-policy ?
Code : Tout sélectionner
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')
Re: Self Service Vide
Publié : 02 mars 2023 - 10:54
par sfonteneau
C'est ça, juste ldap_auth_ssl_enabled n'est pas nécessaire :
Ceci est suffisant :
Code : Tout sélectionner
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
Et si vous ajouter le kerberos l'authentification sera transparente
Re: Self Service Vide
Publié : 02 mars 2023 - 10:55
par jdziadek
Le Kerberos est la prochaine étape, je vais déjà testé comme ca, merci pour les retours