[GELÖST] Selbstbedienungsautomat leer

[jdziadek]

Hallo, ich habe Probleme mit dem Self-Service (WAPT Enterprise).
Ich habe im Stammverzeichnis meiner Organisation ein OU-Paket erstellt, in dem sich ein generisches Self-Service-Paket und einige Gruppen befinden. Sowohl in Active Directory als auch in WAPT ist alles kleingeschrieben: `
app_toto` : Alle Benutzer können die darin enthaltenen Anwendungen sehen (Gruppe: Jeder in Active Directory);
`app_toto_admin` : Alle Mitglieder der Administratorgruppe sind auch in der Active Directory-Gruppe.

Daher haben Administratoren natürlich Zugriff auf die neuesten Regeln. Allerdings ist der Store eines Mitglieds der Administratorgruppe leer, während ein anderes Mitglied alle Anwendungen besitzt. Beide haben die gleiche Rechnerkonfiguration und sind in Active Directory Mitglieder derselben Gruppen. Ich bin ratlos.
Habe ich etwas übersehen?

Eine weitere Frage: Eine Person erhält beim Verbindungsversuch zur Konsole die Fehlermeldung „Unbehandelter Fehler“.
Wo finde ich die Konsolenprotokolle? Können wir die Clientprotokolle nicht über die Konsole abrufen?

[Sfonteneau]

Hallo,

das Problem hängt von Ihrer Konfiguration ab.

Es gibt mehrere Modi:

Im Standardmodus des Agenten (Systemmodus) werden Benutzername und Passwort an das System übergeben, welches die Gruppen berechnet und Benutzername und Passwort überprüft.

Im Modus „waptserver-ldap“ werden Benutzername und Passwort an den Wapt-Server übermittelt, der dann eine LDAP-Anfrage stellt, um Benutzername, Passwort und Gruppenzugehörigkeit zu überprüfen.

Der letzte Modus, „waptserver-ldap + Kerberos“,
ermöglicht eine transparente Authentifizierung am Wapt-Server und erfordert kein Benutzerpasswort. (Serverseitig wird weiterhin LDAP verwendet, die Verbindung erfolgt jedoch über ein Dienstkonto.)

Können Sie bestätigen, dass Sie sich im Standardmodus befinden?

https://www.wapt.fr/fr/doc/wapt-advance ... tification

Simon

[jdziadek]

Danke für die schnelle Antwort. Ich verwende die Standardkonfiguration.
Nach etwas Recherche habe ich jedoch festgestellt, dass die Konfiguration meiner Wapt-Clients (wapt-get.ini) abweicht. Ich versuche, sie zu vereinheitlichen, um zu sehen, ob das einen Unterschied macht.
Julien

[jdziadek]

Okay, ich habe eine Neuinstallation durchgeführt und die alte Konfiguration entfernt, aber es hat nichts gebracht.
Auf einem anderen Rechner funktioniert es. Es muss also ein Problem mit der Konfiguration seines Rechners geben, aber ich kann den Fehler nicht finden.
Gibt es eine Protokolldatei zum Self-Service, die ich überprüfen kann?

[Sfonteneau]

Möglicherweise finden Sie etwas in C:\Program Files (x86)\wapt\log\waptservice.log

Wenn Sie im Systemkonto angemeldet sind (nutzen Sie einen Windows-Rechner?), fragt Windows Active Directory in Echtzeit ab, um die Gruppenzugriffe zu überprüfen. Ist Active Directory verfügbar?

Um den Test in reinem Python durchzuführen, können Sie Folgendes versuchen

Dies gibt „True“ zurück, wenn der Benutzer tatsächlich Mitglied der Gruppe ist

Code: Alle auswählen

C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb  9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.

>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True

Wenn es hier funktioniert, dann liegt das Problem woanders

[jdziadek]

Ja, ich nutze tatsächlich Windows. Mir ist aber gerade eingefallen, dass wir letztes Jahr auf eine Windows-Domäne migriert und die lokalen Profile in Domänenprofile umgewandelt haben. Wenn ich den Vorgang richtig verstehe:
Für die Self-Service-Authentifizierung verwendet WAPT das lokale Konto des Rechners und fragt dann Active Directory nach Berechtigungen ab?
also auf einem Rechner, auf dem ich die Konten „myuser“ und „myuser.mydomain.lan“ habe, die Anmeldedaten von „myuser “ von den Anmeldedaten des Domänenkontos unterscheiden?

[Sfonteneau]

Standardmäßig ist die Domäne leer.


Der WAPT-Code verwaltet die Domäne, wenn Sie Ihren Benutzernamen mit „MYDOMAIN\username“ oder „username@mydomain.lan“ angeben.

Ist die Domäne leer, übernimmt Windows die Verwaltung. Daher ist die Wahrscheinlichkeit hoch, dass die Anmeldung fehlschlägt, wenn Sie ein lokales Konto mit demselben Benutzernamen wie das Domänenkonto verwenden.

Windows versucht es zunächst lokal. Stimmt das Passwort mit dem des lokalen Kontos überein, funktioniert es.

Ihr lokales Konto ist jedoch kein Mitglied der Domänengruppe.

[jdziadek]

Okay, das hatte ich mir im Großen und Ganzen auch gedacht.
Ich hatte die LDAP-Authentifizierung für die Konsole bereits auf dem Server konfiguriert. Wenn ich die Agentenauthentifizierung aktiviere, wird dann der lokale Benutzer umgangen und die Anfrage an den Server gesendet, der sich dann selbst authentifiziert?
Muss ich die Zeilen nur zur wapt-conf-policy-Datei hinzufügen?

Code: Alle auswählen

inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')

[Sfonteneau]

Das ist alles, ldap_auth_ssl_enabled allein ist nicht notwendig:

Das genügt:

Code: Alle auswählen

inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')

Und wenn Sie Kerberos hinzufügen, wird die Authentifizierung nahtlos erfolgen

[jdziadek]

Kerberos ist der nächste Schritt; ich werde es zunächst so testen. Danke für das Feedback