Forum Tranquil IT

Bonjour,
Nous avons majoritairement un parc composé de machines Windows, globalement ça fonctionne très bien mais souhaiterions ajouter wapt sur les quelques mac qu'on est contraint d'avoir.
Nous les avons enregistré sans soucis dans la console wapt, ils remontent bien et on peut pousser sans problèmes des paquets dessus, qui s'installent bien.
Par contre le self-service est désespérément vide, et il ne semble pas y avoir d'équivalent du wapttray (dommage!).
Nous avons supposé que c'était parce que les mac n'étaient pas dans l'AD (Samba-AD pour faire bien), donc nous les avons ajoutés, dans la même OU que les postes Windows. Rien n'y fait, le self-service est toujours vide.
Le paquet "self-service" qui contient les paquets que nous souhaitons mettre à disposition des collaborateurs est bien installé sur les macs. Il contient des déclarations de groupes qui contiennent les utilisateurs connectés au macs, avec des applications déployées pour ces groupes, et des applications qui en plus sont présentes en version "macos" dans le repo.
L'authentification sur le self-service se fait en "system" sauf erreur de ma part.
Nous sommes en wapt 2.6.0.16767 upgradé aujourd'hui même.
J'ai essayé de chercher dans le fichier de log waptservice.log, tout ce que je vois dedans c'est qu'il y a 0 paquets.
Est-ce que quelqu'un aurait une idée peut-être?

Bonjour,

Avez-vous un compte local sur le MAC qui porterai le même nom que l'utilisateur du domain loguer ?

il y a bien un fichier /etc/krb5.conf sur le mac ?

Les information Ad paraisse bien pour le mac dans la console . (L'OU de la machine par exemple) ?

Qu'elle est la version de votre samba active directory ?

L'alternative pourrais être de vous mettre en mode :
service_auth_type=waptserver-ldap

ce qui permet de transferer l'authentification au server wapt (il faut que l'authentification ldap coter serveur wapt soit configurer)

Merci pour vos réponses!
Voici mon retour :
Avez-vous un compte local sur le MAC qui porterai le même nom que l'utilisateur du domain loguer ? => alors oui et non, on a des comptes "mobiles" qui sont du coup issus de la connexion à l'AD, avec les noms des comptes de l'AD. Ces comptes sont créés automatiquement à la connexion, mais ne sont pas vraiment des comptes locaux.

il y a bien un fichier /etc/krb5.conf sur le mac ? => oui, je confirme, avec les informations de connexion correctes à l'AD

Les information Ad paraisse bien pour le mac dans la console . (L'OU de la machine par exemple) ? => oui, je retrouve bien les machines dans la bonne OU dans l'arborescence à gauche

Qu'elle est la version de votre samba active directory ? => 4.19.9

Je vois par contre dans la console que le compte connecté, tel que vu par wapt, est le compte local qui est admin. Le compte AD n'est pas admin du poste (du coup impossible d'utiliser les commandes wapt-get apparemment, contrairement à Windows).
Mais le self-service quand je l'ouvre, j'ai bien mon utilisateur AD qui apparait en bas à gauche.

Pour le fonctionnement avec :

Code : Tout sélectionner

 service_auth_type=waptserver-ldap

On a essayé sur les postes Windows, après passage à la version 2.6, mais on a des erreurs en pagaille et on a dû pousser sur tous les postes une configuration de l'agent pour forcer le retour au mode "system" sans quoi le self-service ne marchait pas. On a fait toute la configuration ldap côté serveur wapt, avec test via le script ok :

Code : Tout sélectionner

root@si-wapt-01:~# /opt/wapt/waptserver/scripts/testing-ldap-connectivity.sh
----------------------------------------------------------------
Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Username : yoann.montouchet
Group test member : nvm4windows
----------------------------------------------------------------
[OK] Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Test ldap with direct Login
----------------------------------------------------------------
Username ldap: yoann.montouchet
Password ldap:
Group test member : nvm4windows
--------
ALL GOOD
--------

Voilà les erreurs qu'on avait :

Code : Tout sélectionner

2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur

yoann.montouchet a écrit : ↑13 janv. 2025 - 09:30 Pour le fonctionnement avec :
Code : Tout sélectionner
 service_auth_type=waptserver-ldap
On a essayé sur les postes Windows, après passage à la version 2.6, mais on a des erreurs en pagaille et on a dû pousser sur tous les postes une configuration de l'agent pour forcer le retour au mode "system" sans quoi le self-service ne marchait pas.
Voilà les erreurs qu'on avait :
Code : Tout sélectionner
2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur

Vous avez mis dans votre paquet de règles selfservice "builtin\utilisateur" ??

Si oui il serais préférable de mettre "domain users"

Je confirme! Effectivement la plupart des paquets dans le self-service sont affectés à ce groupe!

Je vois pour corriger ça et refait les tests avec waptserver-ldap...
Je vous tiens au courant, merci!

Je confirme à la fois que waptserver-ldap fonctionne maintenant parfaitement (donc SSO ok!

), et qu'en plus cela à corrigé le self-service sur les macs...
Je suggère de mettre à jour la doc pour plus mettre en avant le changement du paramètre par défaut pour "service_auth_type", chez nous la montée de version de la 2.5.5 à la 2.6.0 ne faisait plus marcher le self-service à cause de ça!
Merci beaucoup pour votre aide!

Merci pour le retour

Normalement filetoken devrais fonctionne

Je me demande si ce n'est pas builtin\utilisateurs qui le faisais planter !

Autre possibilité comme je disais c'est qu'un compte local qui porte le même nom existe

Forum Tranquil IT

[RESOLU] Self Service sur mac

[RESOLU] Self Service sur mac

Re: Self Service sur mac

Re: Self Service sur mac

Re: Self Service sur mac

Re: Self Service sur mac

[RESOLU] Re: Self Service sur mac

Re: [RESOLU] Self Service sur mac