Salve, ho un problema con il self-service (WAPT Enterprise).
Ho creato un pacchetto OU nella directory principale della mia organizzazione, al cui interno ho inserito un pacchetto self-service generico e alcuni gruppi. Tutto è in minuscolo sia in Active Directory che in WAPT: `
app_toto` : tutti gli utenti possono visualizzare le applicazioni al suo interno (gruppo: tutti in Active Directory);
`app_toto_admin` : tutti i membri del gruppo admin sono nel gruppo di Active Directory.
Quindi, naturalmente, i membri admin hanno accesso alle regole più recenti. Tuttavia, ho un membro del gruppo admin il cui store è vuoto, mentre un altro membro ha tutte le app. Entrambi hanno esattamente la stessa configurazione della macchina e in Active Directory sono membri degli stessi gruppi. Ammetto di essere perplesso.
Mi è sfuggito qualcosa?
Come ulteriore domanda, una persona riceve un "errore non gestito" quando tenta di connettersi alla console.
Dove posso trovare i log della console? Non è possibile recuperare i log di un client dalla console?
[RISOLTO] Self Service vuoto
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Ciao,
il problema varia a seconda della configurazione.
Esistono diverse modalità:
la modalità predefinita sull'agente, la modalità di sistema (nome utente/password), viene passata al sistema, che calcola i gruppi e verifica nome utente/password;
l'altra modalità, waptserver-ldap, passa nome utente/password al server Wapt, che quindi effettua una richiesta LDAP per verificare nome utente/password e i gruppi a cui appartiene; e
l'ultima modalità, waptserver-ldap + Kerberos.
Questa modalità consente l'autenticazione trasparente al server Wapt e non richiede una password all'utente. (Si tratta comunque di LDAP sul lato server Wapt, ma questa volta la connessione viene stabilita con un account di servizio.)
Puoi confermare di essere nella modalità predefinita?
https://www.wapt.fr/fr/doc/wapt-advance ... tification
Simon
il problema varia a seconda della configurazione.
Esistono diverse modalità:
la modalità predefinita sull'agente, la modalità di sistema (nome utente/password), viene passata al sistema, che calcola i gruppi e verifica nome utente/password;
l'altra modalità, waptserver-ldap, passa nome utente/password al server Wapt, che quindi effettua una richiesta LDAP per verificare nome utente/password e i gruppi a cui appartiene; e
l'ultima modalità, waptserver-ldap + Kerberos.
Questa modalità consente l'autenticazione trasparente al server Wapt e non richiede una password all'utente. (Si tratta comunque di LDAP sul lato server Wapt, ma questa volta la connessione viene stabilita con un account di servizio.)
Puoi confermare di essere nella modalità predefinita?
https://www.wapt.fr/fr/doc/wapt-advance ... tification
Simon
Grazie per la rapida risposta, sto usando la configurazione predefinita.
Tuttavia, dopo aver fatto qualche ricerca, ho notato che la configurazione dei miei client Wapt (wapt-get.ini) è diversa. Sto cercando di standardizzarla per vedere se questo risolve il problema.
Julien
Tuttavia, dopo aver fatto qualche ricerca, ho notato che la configurazione dei miei client Wapt (wapt-get.ini) è diversa. Sto cercando di standardizzarla per vedere se questo risolve il problema.
Julien
Debian 11
WAPT: 2.4.0.14143
WAPT: 2.4.0.14143
Ok, ho eseguito un'installazione pulita, eliminando la vecchia configurazione, ma ancora niente.
Ho fatto la stessa cosa su un'altra macchina e lì funziona. Quindi deve esserci un problema con la configurazione di questa macchina, ma non riesco a capire quale.
Esiste un file di log relativo al self-service che posso controllare?
Ho fatto la stessa cosa su un'altra macchina e lì funziona. Quindi deve esserci un problema con la configurazione di questa macchina, ma non riesco a capire quale.
Esiste un file di log relativo al self-service che posso controllare?
Debian 11
WAPT: 2.4.0.14143
WAPT: 2.4.0.14143
Potresti trovare qualcosa in C:\Programmi (x86)\wapt\log\waptservice.log
Quando accedi all'account di sistema (sei su un computer Windows?), Windows interrogherà Active Directory in tempo reale per verificare l'accesso del gruppo. Active Directory è disponibile?
Per eseguire il test in Python puro, puoi provare questo
Restituirà True se l'utente è effettivamente un membro del gruppo
Se funziona qui, allora il problema è altrove
Quando accedi all'account di sistema (sei su un computer Windows?), Windows interrogherà Active Directory in tempo reale per verificare l'accesso del gruppo. Active Directory è disponibile?
Per eseguire il test in Python puro, puoi provare questo
Restituirà True se l'utente è effettivamente un membro del gruppo
Codice: Seleziona tutto
C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb 9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True
Sì, sì, in effetti uso Windows. Tuttavia, mi sono appena ricordato che l'anno scorso abbiamo effettuato la migrazione a un dominio Windows e convertito i profili locali in profili di dominio. Se ho capito bene il processo:
per l'autenticazione self-service, WAPT utilizza l'account locale sulla macchina e poi interroga Active Directory per le autorizzazioni?
Quindi, su una macchina, se ho myuser e myuser.mydomain.lan, le credenziali di accesso di myuser sono diverse da quelle dell'account di dominio?
per l'autenticazione self-service, WAPT utilizza l'account locale sulla macchina e poi interroga Active Directory per le autorizzazioni?
Quindi, su una macchina, se ho myuser e myuser.mydomain.lan, le credenziali di accesso di myuser sono diverse da quelle dell'account di dominio?
Debian 11
WAPT: 2.4.0.14143
WAPT: 2.4.0.14143
Per impostazione predefinita, il dominio è vuoto.
Il codice WAPT gestisce il dominio se si specifica il nome utente con il formato "MYDOMAIN\username" o "username@mydomain.lan".
Se il dominio è vuoto, la gestione viene affidata a Windows. Pertanto, nel caso di un account locale con lo stesso nome utente dell'account di dominio, è molto probabile che l'operazione fallisca.
Windows tenterà prima l'accesso in locale. Se la password è identica a quella dell'account locale, l'operazione andrà a buon fine.
Tuttavia, l'account locale non è membro del gruppo di dominio.
Il codice WAPT gestisce il dominio se si specifica il nome utente con il formato "MYDOMAIN\username" o "username@mydomain.lan".
Se il dominio è vuoto, la gestione viene affidata a Windows. Pertanto, nel caso di un account locale con lo stesso nome utente dell'account di dominio, è molto probabile che l'operazione fallisca.
Windows tenterà prima l'accesso in locale. Se la password è identica a quella dell'account locale, l'operazione andrà a buon fine.
Tuttavia, l'account locale non è membro del gruppo di dominio.
Ok, è più o meno quello che pensavo.
Avevo già configurato l'autenticazione LDAP sul server per la console. Se abilito l'autenticazione dell'agente, ignorerà l'utente locale e invierà la richiesta al server, che si autenticherà autonomamente?
Devo solo aggiungere le righe al file wapt-conf-policy?
Avevo già configurato l'autenticazione LDAP sul server per la console. Se abilito l'autenticazione dell'agente, ignorerà l'utente locale e invierà la richiesta al server, che si autenticherà autonomamente?
Devo solo aggiungere le righe al file wapt-conf-policy?
Codice: Seleziona tutto
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')
Debian 11
WAPT: 2.4.0.14143
WAPT: 2.4.0.14143
Ecco fatto, ldap_auth_ssl_enabled non è necessario:
Questo è sufficiente:
E se aggiungi Kerberos, l'autenticazione sarà fluida
Questo è sufficiente:
Codice: Seleziona tutto
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')