Foro de TI tranquilo

Hola,
principalmente tenemos una flota de máquinas Windows, que generalmente funciona muy bien, pero nos gustaría agregar wapt a las pocas Mac que nos vemos obligados a usar.
Las registramos sin ningún problema en la consola de wapt; aparecen correctamente, podemos enviar paquetes a ellas sin problemas y se instalan correctamente.
Sin embargo, el repositorio de autoservicio está desesperadamente vacío, y no parece haber un equivalente a wapttray (¡lo cual es una lástima!).
Supusimos que esto se debía a que las Mac no estaban en Active Directory (Samba-AD, para ser precisos), así que las agregamos en la misma OU que las máquinas Windows. Nada ha funcionado; el repositorio de autoservicio sigue vacío.
El paquete "self-service", que contiene los paquetes que queremos poner a disposición de los empleados, está correctamente instalado en las Mac. Contiene declaraciones de grupo que listan los usuarios que han iniciado sesión en las Mac, con aplicaciones implementadas para estos grupos, y aplicaciones que también están disponibles en una versión "macOS" en el repositorio.
La autenticación en el portal de autoservicio se realiza a través de "system", a menos que me equivoque.
Estamos usando WAPT 2.6.0.16767, actualizado hoy.
Intenté revisar el archivo waptservice.log, pero solo veo que hay 0 paquetes.
¿Alguien tiene alguna idea?

Hola,

¿tienes una cuenta local en la Mac con el mismo nombre que el usuario de dominio que ha iniciado sesión? ¿

Existe un archivo /etc/krb5.conf en la Mac? ¿

Aparece correctamente la información de Active Directory para la Mac en la consola (por ejemplo, la OU de la máquina)?

¿Qué versión de Samba Active Directory estás utilizando?

Una solución alternativa podría ser usar el siguiente modo:
service_auth_type=waptserver-ldap

, que permite transferir la autenticación al servidor WAPT (la autenticación LDAP en el servidor WAPT debe estar configurada).

¡Gracias por tus respuestas!
Aquí está mi opinión:
¿Tienes una cuenta local en la Mac con el mismo nombre que el usuario que inició sesión en el dominio? => Sí y no. Tenemos cuentas "móviles" que se crean desde la conexión de Active Directory, usando los nombres de las cuentas de Active Directory. Estas cuentas se crean automáticamente al iniciar sesión, pero no son realmente cuentas locales.

¿Hay un archivo /etc/krb5.conf en Mac? => Sí, lo confirmo, con la información de conexión correcta de Active Directory

La información de administrador aparece correctamente para Mac en la consola. (¿La OU de la máquina, por ejemplo?) => Sí, puedo ver las máquinas en la OU correcta en la vista de árbol de la izquierda

¿Cuál es tu versión de Samba Active Directory? => 4.19.9

Sin embargo, veo en la consola que la cuenta iniciada, como la detecta wapt, es la cuenta local, que es administradora. La cuenta AD no es administradora en el equipo (por lo que parece imposible usar comandos wapt-get, a diferencia de Windows).
Pero cuando abro el portal de autoservicio, mi usuario de AD aparece en la esquina inferior izquierda.

Para funcionamiento con:

Código: Seleccionar todo

 service_auth_type=waptserver-ldap

Lo probamos en equipos Windows tras actualizar a la versión 2.6, pero encontramos numerosos errores y tuvimos que enviar la configuración del agente a todos los equipos para forzar el retorno al modo "sistema"; de lo contrario, el autoservicio no funcionaría. Realizamos toda la configuración LDAP en el servidor WAPT, y las pruebas con el script fueron exitosas

Código: Seleccionar todo

root@si-wapt-01:~# /opt/wapt/waptserver/scripts/testing-ldap-connectivity.sh
----------------------------------------------------------------
Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Username : yoann.montouchet
Group test member : nvm4windows
----------------------------------------------------------------
[OK] Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Test ldap with direct Login
----------------------------------------------------------------
Username ldap: yoann.montouchet
Password ldap:
Group test member : nvm4windows
--------
ALL GOOD
--------

Estos son los errores que cometimos:

Código: Seleccionar todo

2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur

yoann.montouchet escribió: ↑13 de enero de 2025 - 09:30 Para funcionamiento con:
Código: Seleccionar todo
 service_auth_type=waptserver-ldap
Lo probamos en máquinas Windows, después de actualizar a la versión 2.6, pero obtuvimos muchos errores y tuvimos que enviar una configuración de agente a todas las máquinas para forzar el regreso al modo "sistema", de lo contrario, el autoservicio no funcionaba.
Estos son los errores que cometimos:
Código: Seleccionar todo
2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur

¿Incluiste "builtin\user" en tu paquete de reglas de autoservicio?

Si es así, sería mejor utilizar "usuarios del dominio"

¡Lo confirmo! Efectivamente, la mayoría de los paquetes en el área de autoservicio están asignados a este grupo.

Voy a solucionarlo y volveré a ejecutar las pruebas con waptserver-ldap.
Les mantendré informados, ¡gracias!

Confirmo que waptserver-ldap ahora funciona perfectamente (¡así que el inicio de sesión único funciona correctamente!

), y que también se ha solucionado el problema del autoservicio en Mac.
Sugiero actualizar la documentación para destacar mejor el cambio en el parámetro predeterminado de "service_auth_type". En nuestro sistema, la actualización de la versión 2.5.5 a la 2.6.0 provocó que el autoservicio dejara de funcionar debido a este problema. ¡
Muchas gracias por su ayuda!

Gracias por los comentarios.

Normalmente, filetoken debería funcionar.

Me pregunto si no sería builtin\utilisateurs lo que causaba el fallo.

Otra posibilidad, como ya mencioné, es que exista una cuenta local con el mismo nombre.

Foro de TI tranquilo

[RESUELTO] Autoservicio en Mac

[RESUELTO] Autoservicio en Mac

Re: Autoservicio en Mac

Re: Autoservicio en Mac

Re: Autoservicio en Mac

Re: Autoservicio en Mac

[RESUELTO] Re: Autoservicio en Mac

Re: [RESUELTO] Autoservicio en Mac