Ajout de l'user courrant au groupe admin

Questions about WAPT Packaging / Requêtes et aides autour des paquets Wapt.
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

26 mai 2023 - 09:27

Hello, je fais un paquet pour notre flotte de PC de pret, pour donner les droits admin à l'utilisateur courrant.

Code : Tout sélectionner

def install():
    user = get_current_user()
    if ( user):
        add_user_to_group("centralelille\\" + user, "administrateurs")
def session_setup():
    user = get_current_user()
    add_user_to_group("centralelille\\" + user, "administrateurs")
Quand je lance le session-setup, je me prend un accès refusé. Le session setup n'est pas lancé avec le compte system?
Julien
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

26 mai 2023 - 12:41

En session setup ce n'est pas surprenant qu'un utilisateur ne puisse pas s'ajouter lui même au compte administrateurs

En install vous cherchez a utiliser

Code : Tout sélectionner

get_loggedinusers()

Mais bon dans votre cas je suppose que ça reviens a ajouter le groupe "'tout le monde" au groupe administrateurs ...
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

26 mai 2023 - 18:32

Hello, oui effectivement je n'avais pas compris que le session setup n'utilisait pas le compte system, c'était pas marqué explicitement sur la Doc.
Il y a aucun moyen de passer une commande en compte system avec un session setup ? ( Pour un usage quelconque)
Julien
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
vcardon
Expert WAPT
Messages : 248
Inscription : 06 oct. 2017 - 22:55
Localisation : Nantes, FR

26 mai 2023 - 20:44

Bonjour jdziadek

Voudriez vous nous expliquer votre cas d'usage car il semblerait que vous souhaitiez mettre en place un genre de PAM (Privileged Access Management) en utilisant WAPT ?

Vos PC de prêt sont-ils attribués nominativement ?

Quelles sont les actions que vos utilisateurs doivent pouvoir faire avec un compte admin sur leurs PC de prêt ?

Merci.
Vincent CARDON
Tranquil IT
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

30 mai 2023 - 08:34

Bonjour,
Pour faire simple, on a une flotte de 20 à 30PC de prêt, prêté pour une durée de 2 mois maximum, soit à des élèves, soit à du personnel. Nous aimerions juste que les utilisateurs puissent installer les logiciels qu'ils veulent. Nous sommes au tout début de notre infra WAPT et donc la liste des paquets n'est pas encore assez poussée pour tout les usagers.
Une fois le PC récupéré par le service de gestion des prêts, on réinstalle la machine via WADS.
C'est sur que rajouter " tout le monde" dans le groupe admin fonctionne, mais on préfère quelque chose de moins radical
Julien
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

30 mai 2023 - 12:53

jdziadek a écrit : 26 mai 2023 - 18:32 Il y a aucun moyen de passer une commande en compte system avec un session setup ? ( Pour un usage quelconque)
C'est particulièrement dangereux ça signifierai qu'un utilisateur sans droit peu demander a wapt d'exécuter du code pour lui.

Une astuce par contre c'est qu'un utilisateur peu demander un audit en session setup:

Code : Tout sélectionner


def install():
    pass

def session_setup():
    wgets('http://127.0.0.1:8088/audit?force=1&package=tis-test')

def audit():
    for user in get_loggedinusers():
        add_user_to_group("centralelille\\" + user, "administrateurs")      
Mais bon comme que je le disais ça reviens au même que de mettre tout le monde dans le groupe administrateurs ... ça ne change rien a la finalité.
Avatar de l’utilisateur
vcardon
Expert WAPT
Messages : 248
Inscription : 06 oct. 2017 - 22:55
Localisation : Nantes, FR

30 mai 2023 - 23:02

Quels sont les logiciels qui vous manquent pour passer vos utilisateur en droits restreints et leur proposer l’installation de leurs logiciels en mode self-service ?

Pouvons nous collaborer pour atteindre cet objectif ?
Vincent CARDON
Tranquil IT
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

31 mai 2023 - 10:12

vcardon a écrit : 30 mai 2023 - 23:02 Quels sont les logiciels qui vous manquent pour passer vos utilisateur en droits restreints et leur proposer l’installation de leurs logiciels en mode self-service ?

Pouvons nous collaborer pour atteindre cet objectif ?
Le soucis c'est qu'on ne sait pas du tout, nous avons beaucoup d'enseignants chercheurs qui font des tests de logiciel pour voir si ca peut correspondre à un besoin, donc ils vont peut être avoir besoin du logiciel pour le tester et possiblement ne jamais revenir dessus.
Debian 11
WAPT Version : 2.4.0.14143
gaelds
Messages : 220
Inscription : 22 nov. 2015 - 08:37

24 juin 2023 - 08:44

Bonjour,
Problème similaire dans notre lycée pro. Les entreprises demandent aux stagiaire de venir avec un PC, soit pour utiliser nos licences Education Autodesk/Solidworks etc.., soit pour y installer leurs logiciels métiers. Parfois ces PC se retrouvent même joints au domaine de l'entreprise qui accueille le stagiaire. Ils doivent donc être admins du poste.
La solution la plus rapide que j'ai trouvée c'est de faire un master de ces postes avec nos logiciels installés via WAPT, mais je le laisse hors domaine. Je ne crée qu'un seul utilisateur "eleve" qui est admin Windows. Quand le PC revient, je refait son image.
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1364
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

26 juin 2023 - 11:02

Bonjour Julien,
jdziadek a écrit : 31 mai 2023 - 10:12
vcardon a écrit : 30 mai 2023 - 23:02 Quels sont les logiciels qui vous manquent pour passer vos utilisateur en droits restreints et leur proposer l’installation de leurs logiciels en mode self-service ?

Pouvons nous collaborer pour atteindre cet objectif ?
Le soucis c'est qu'on ne sait pas du tout, nous avons beaucoup d'enseignants chercheurs qui font des tests de logiciel pour voir si ca peut correspondre à un besoin, donc ils vont peut être avoir besoin du logiciel pour le tester et possiblement ne jamais revenir dessus.
Il n'est peut être pas possible de retirer les droits local admin à tous les enseignants chercheurs, mais on a vu d'autres école qui ont réussi à les supprimer sur la très grande majorité avec un self-service bien rempli. En fait en expliquant les risques associés à ce compte, notamment l'augmentation du risque lié au ransomware), et le bénéfice limité si le selfservice est bien rempli, ça permet de faire accepter le changement à pas mal de monde.

Au delà du passage en local admin, d'un point de vu de sécurité il est préférable d'éviter que le compte de l'utilisateur nominatif soit local admin, mais de créer un autre compte local au poste qui pourra être utilisé ponctuellement pour des installations, mais pas au quotidien. Si le compte est local et qu'il n'a pas accès aux ressources réseaux, etc. ça permet d'éviter que les utilisateurs l'utilise au quotidien, et donc privilégier leur comptes à droit restreint.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Verrouillé