[RISOLTO] Self Service su Mac

[yoann.montouchet]

Salve,
disponiamo principalmente di una flotta di computer Windows, che in genere funzionano molto bene, ma vorremmo aggiungere wapt ai pochi Mac che siamo costretti a utilizzare.
Li abbiamo registrati senza problemi nella console wapt; vengono visualizzati correttamente e possiamo distribuire pacchetti senza problemi, e l'installazione va a buon fine.
Tuttavia, il repository self-service è completamente vuoto e non sembra esserci un equivalente di wapttray (il che è un peccato!).
Abbiamo ipotizzato che ciò fosse dovuto al fatto che i Mac non fossero in Active Directory (Samba-AD, per la precisione), quindi li abbiamo aggiunti alla stessa OU dei computer Windows. Nulla ha funzionato; il repository self-service è ancora vuoto.
Il pacchetto "self-service", che contiene i pacchetti che vogliamo rendere disponibili ai dipendenti, è installato correttamente sui Mac. Contiene dichiarazioni di gruppo che elencano gli utenti connessi ai Mac, con le applicazioni distribuite per questi gruppi e le applicazioni che sono disponibili anche in una versione "macOS" nel repository.
L'autenticazione sul portale self-service avviene tramite "system", se non erro.
Utilizziamo WAPT 2.6.0.16767, aggiornato oggi.
Ho provato a controllare il file waptservice.log, ma l'unica cosa che vedo è che ci sono 0 pacchetti.
Qualcuno ha qualche idea?

[sfontenau]

Ciao,

hai un account locale sul Mac con lo stesso nome dell'utente di dominio attualmente connesso?

È presente un file /etc/krb5.conf sul Mac?

Le informazioni di Active Directory vengono visualizzate correttamente per il Mac nella console (ad esempio, l'unità organizzativa del computer)?

Quale versione di Samba Active Directory stai utilizzando?

Una soluzione alternativa potrebbe essere quella di utilizzare la seguente modalità:
service_auth_type=waptserver-ldap

, che consente di trasferire l'autenticazione al server WAPT (l'autenticazione LDAP sul server WAPT deve essere configurata).

[yoann.montouchet]

Grazie per le vostre risposte!
Ecco il mio feedback:
Hai un account locale sul Mac con lo stesso nome dell'utente che ha effettuato l'accesso al dominio? => Beh, sì e no. Abbiamo account "mobili" creati dalla connessione Active Directory, utilizzando i nomi degli account Active Directory. Questi account vengono creati automaticamente all'accesso, ma non sono account realmente locali.

Esiste un file /etc/krb5.conf sul Mac? => Sì, confermo, con le informazioni corrette sulla connessione ad Active Directory

Le informazioni di amministrazione vengono visualizzate correttamente per il Mac nella console. (Ad esempio, l'OU del computer?) => Sì, riesco a vedere i computer nell'OU corretta nella vista ad albero a sinistra

Qual è la tua versione di Samba Active Directory? => 4.19.9

Tuttavia, vedo nella console che l'account connesso, come visto da wapt, è l'account locale, che è un amministratore. L'account AD non è un amministratore sul computer (quindi sembra impossibile usare i comandi wapt-get, a differenza di Windows).
Ma quando apro il portale self-service, il mio utente AD appare nell'angolo in basso a sinistra.

Per il funzionamento con:

Codice: Seleziona tutto

 service_auth_type=waptserver-ldap

L'abbiamo provato su macchine Windows dopo l'aggiornamento alla versione 2.6, ma abbiamo riscontrato numerosi errori e abbiamo dovuto inviare una configurazione dell'agente a tutte le macchine per forzare il ritorno alla modalità "sistema"; altrimenti, il self-service non avrebbe funzionato. Abbiamo eseguito tutta la configurazione LDAP sul lato server WAPT, con test tramite lo script che hanno avuto successo

Codice: Seleziona tutto

root@si-wapt-01:~# /opt/wapt/waptserver/scripts/testing-ldap-connectivity.sh
----------------------------------------------------------------
Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Username : yoann.montouchet
Group test member : nvm4windows
----------------------------------------------------------------
[OK] Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Test ldap with direct Login
----------------------------------------------------------------
Username ldap: yoann.montouchet
Password ldap:
Group test member : nvm4windows
--------
ALL GOOD
--------

Ecco gli errori che abbiamo commesso:

Codice: Seleziona tutto

2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur

[sfontenau]

Per il funzionamento con:

Codice: Seleziona tutto

 service_auth_type=waptserver-ldap

L'abbiamo provato su macchine Windows, dopo aver effettuato l'aggiornamento alla versione 2.6, ma abbiamo riscontrato molti errori e abbiamo dovuto inviare una configurazione dell'agente a tutte le macchine per forzare il ritorno alla modalità "sistema", altrimenti il ​​self-service non funzionava.
Ecco gli errori che abbiamo commesso:

Codice: Seleziona tutto

2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur

Hai incluso "builtin\user" nel tuo pacchetto di regole self-service?

In tal caso sarebbe meglio usare "utenti del dominio"

[yoann.montouchet]

Posso confermare! In effetti, la maggior parte dei pacchetti nell'area self-service sono assegnati a questo gruppo!
Mi occuperò di risolvere il problema e ripeterò i test con waptserver-ldap...
Vi terrò aggiornati, grazie!

[yoann.montouchet]

Posso confermare che waptserver-ldap ora funziona perfettamente (quindi l'SSO è a posto! ), e che ha anche risolto il problema del self-service sui Mac.
Suggerisco di aggiornare la documentazione per evidenziare meglio la modifica al parametro predefinito per "service_auth_type". Sul nostro sistema, l'aggiornamento dalla versione 2.5.5 alla 2.6.0 ha causato il malfunzionamento del self-service proprio per questo motivo!
Grazie mille per il vostro aiuto!

[sfontenau]

Grazie per il feedback.

Normalmente, il filetoken dovrebbe funzionare.

Mi chiedo se non fosse builtin\users a causare il crash!

Un'altra possibilità, come ho già detto, è che esista un account locale con lo stesso nome.