[RESUELTO] Autoservicio vacío

[jdziadek]

Hola, tengo problemas con el autoservicio (WAPT Enterprise).
Creé un paquete OU en la raíz de mi organización, dentro del cual coloqué un paquete genérico de autoservicio y algunos grupos. Todo está en minúsculas en Active Directory y en WAPT: `
app_toto` : todos los usuarios pueden ver las aplicaciones en él (grupo: todos en Active Directory);
`app_toto_admin` : todos los miembros del grupo admin están en el grupo de Active Directory.

Por lo tanto, naturalmente, los miembros admin tienen acceso a las reglas más recientes. Sin embargo, tengo un miembro del grupo admin cuyo almacén está vacío, mientras que otro miembro tiene todas las aplicaciones. Ambos tienen exactamente la misma configuración de máquina, y en Active Directory, son miembros de los mismos grupos. Admito que estoy desconcertado. ¿
Se me ha escapado algo?

Como pregunta adicional, una persona está recibiendo un "error no controlado" al intentar conectarse a la consola. ¿
Dónde puedo encontrar los registros de la consola? ¿No podemos recuperar los registros de un cliente desde la consola?

[Sfonteneau]

Hola,

el problema varía según tu configuración.

Existen varios modos:

el modo predeterminado en el agente, el modo del sistema (nombre de usuario/contraseña) se pasa al sistema, que calcula los grupos y verifica el nombre de usuario/contraseña;

el otro modo, waptserver-ldap, pasa el nombre de usuario/contraseña al servidor Wapt, que luego realiza una solicitud LDAP para verificar el nombre de usuario/contraseña del usuario y los grupos a los que pertenece; y

el último modo, waptserver-ldap + Kerberos.
Este modo permite la autenticación transparente al servidor Wapt y no requiere contraseña del usuario. (Sigue siendo LDAP en el lado del servidor Wapt, pero esta vez la conexión se realiza con una cuenta de servicio).

¿Puedes confirmar que estás en el modo predeterminado?

https://www.wapt.fr/fr/doc/wapt-advance ... tification

Simon

[jdziadek]

Gracias por la rápida respuesta. Estoy usando la configuración predeterminada.
Sin embargo, tras investigar un poco, veo que la configuración de mis clientes Wapt (wapt-get.ini) es diferente. Estoy intentando estandarizarla para ver si eso soluciona el problema.
Julien

[jdziadek]

De acuerdo, hice una instalación limpia, eliminando la configuración anterior, pero sigue sin funcionar.
Hice lo mismo en otra máquina y allí sí funciona. Así que debe haber un problema con la configuración de su máquina, pero no logro averiguar cuál es.
¿Hay algún archivo de registro relacionado con el autoservicio que pueda consultar?

[Sfonteneau]

Es posible que encuentres algo en C:\Archivos de programa (x86)\wapt\log\waptservice.log

Al iniciar sesión en la cuenta del sistema (¿está en una máquina Windows?), Windows consultará Active Directory en tiempo real para comprobar el acceso del grupo. ¿Está disponible Active Directory?

Para realizar la prueba en Python puro, puedes probar esto

Esto devolverá Verdadero si el usuario es de hecho miembro del grupo

Código: Seleccionar todo

C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb  9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.

>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True

Si funciona aquí, el problema está en otra parte

[jdziadek]

Sí, sí, efectivamente uso Windows. Sin embargo, acabo de recordar que el año pasado migramos a un dominio de Windows y convertimos los perfiles locales a perfiles de dominio. Si entiendo bien el proceso:
para la autenticación de autoservicio, ¿WAPT usará la cuenta local del equipo y luego consultará Active Directory para obtener los permisos?
Entonces, si en un equipo tengo myuser y myuser.mydomain.lan, ¿ el inicio de sesión de myuser es diferente al de la cuenta de dominio?

[Sfonteneau]

Por defecto, el dominio está vacío.


El código WAPT gestiona el dominio si se especifica el nombre de usuario con el formato "MIDOMINIO\nombredeusuario" o "nombredeusuario@midominio.lan".

Si el dominio está vacío, Windows lo gestiona. Por lo tanto, si una cuenta local tiene el mismo nombre de usuario que la cuenta de dominio, es probable que falle.

Windows intentará primero conectarse localmente. Si la contraseña es idéntica a la de la cuenta local, funcionará.

Sin embargo, la cuenta local no pertenece al grupo de dominio.

[jdziadek]

Bueno, eso es más o menos lo que pensé.
Ya había configurado la autenticación LDAP en el servidor para la consola. Si activo la autenticación del agente, ¿omitirá al usuario local y enviará la solicitud al servidor, que se autenticará automáticamente?
¿Solo necesito agregar las líneas al archivo wapt-conf-policy?

Código: Seleccionar todo

inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')

[Sfonteneau]

Eso es todo, simplemente ldap_auth_ssl_enabled no es necesario:

Esto es suficiente:

Código: Seleccionar todo

inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')

Y si agrega Kerberos, la autenticación será perfecta

[jdziadek]

Kerberos es el siguiente paso; lo probaré así primero. Gracias por tus comentarios