Pagina 1 di 2
[RISOLTO] Self Service vuoto
Pubblicato: 1 marzo 2023 - 11:25
di jdziadek
Salve, ho un problema con il self-service (WAPT Enterprise).
Ho creato un pacchetto OU nella directory principale della mia organizzazione, al cui interno ho inserito un pacchetto self-service generico e alcuni gruppi. Tutto è in minuscolo sia in Active Directory che in WAPT: `
app_toto` : tutti gli utenti possono visualizzare le applicazioni al suo interno (gruppo: tutti in Active Directory);
`app_toto_admin` : tutti i membri del gruppo admin sono nel gruppo di Active Directory.
Quindi, naturalmente, i membri admin hanno accesso alle regole più recenti. Tuttavia, ho un membro del gruppo admin il cui store è vuoto, mentre un altro membro ha tutte le app. Entrambi hanno esattamente la stessa configurazione della macchina e in Active Directory sono membri degli stessi gruppi. Ammetto di essere perplesso.
Mi è sfuggito qualcosa?
Come ulteriore domanda, una persona riceve un "errore non gestito" quando tenta di connettersi alla console.
Dove posso trovare i log della console? Non è possibile recuperare i log di un client dalla console?
Re: Self Service vuoto
Pubblicato: 1 marzo 2023 - 11:55
di sfontenau
Ciao,
il problema varia a seconda della configurazione.
Esistono diverse modalità:
la modalità predefinita sull'agente, la modalità di sistema (nome utente/password), viene passata al sistema, che calcola i gruppi e verifica nome utente/password;
l'altra modalità, waptserver-ldap, passa nome utente/password al server Wapt, che quindi effettua una richiesta LDAP per verificare nome utente/password e i gruppi a cui appartiene; e
l'ultima modalità, waptserver-ldap + Kerberos.
Questa modalità consente l'autenticazione trasparente al server Wapt e non richiede una password all'utente. (Si tratta comunque di LDAP sul lato server Wapt, ma questa volta la connessione viene stabilita con un account di servizio.)
Puoi confermare di essere nella modalità predefinita?
https://www.wapt.fr/fr/doc/wapt-advance ... tification
Simon
Re: Self Service vuoto
Pubblicato: 1 marzo 2023 - 11:58
di jdziadek
Grazie per la rapida risposta, sto usando la configurazione predefinita.
Tuttavia, dopo aver fatto qualche ricerca, ho notato che la configurazione dei miei client Wapt (wapt-get.ini) è diversa. Sto cercando di standardizzarla per vedere se questo risolve il problema.
Julien
Re: Self Service vuoto
Pubblicato: 1 marzo 2023 - 15:22
di jdziadek
Ok, ho eseguito un'installazione pulita, eliminando la vecchia configurazione, ma ancora niente.
Ho fatto la stessa cosa su un'altra macchina e lì funziona. Quindi deve esserci un problema con la configurazione di questa macchina, ma non riesco a capire quale.
Esiste un file di log relativo al self-service che posso controllare?
Re: Self Service vuoto
Pubblicato: 1 marzo 2023 - 17:21
di sfontenau
Potresti trovare qualcosa in C:\Programmi (x86)\wapt\log\waptservice.log
Quando accedi all'account di sistema (sei su un computer Windows?), Windows interrogherà Active Directory in tempo reale per verificare l'accesso del gruppo. Active Directory è disponibile?
Per eseguire il test in Python puro, puoi provare questo
Restituirà True se l'utente è effettivamente un membro del gruppo
Codice: Seleziona tutto
C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb 9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True
Se funziona qui, allora il problema è altrove
Re: Self Service vuoto
Pubblicato: 1 marzo 2023 - 17:40
di jdziadek
Sì, sì, in effetti uso Windows. Tuttavia, mi sono appena ricordato che l'anno scorso abbiamo effettuato la migrazione a un dominio Windows e convertito i profili locali in profili di dominio. Se ho capito bene il processo:
per l'autenticazione self-service, WAPT utilizza l'account locale sulla macchina e poi interroga Active Directory per le autorizzazioni?
Quindi, su una macchina, se ho myuser e myuser.mydomain.lan, le credenziali di accesso di myuser sono diverse da quelle dell'account di dominio?
Re: Self Service vuoto
Pubblicato: 2 marzo 2023 - 10:44
di sfontenau
Per impostazione predefinita, il dominio è vuoto.
Il codice WAPT gestisce il dominio se si specifica il nome utente con il formato "MYDOMAIN\username" o "
username@mydomain.lan".
Se il dominio è vuoto, la gestione viene affidata a Windows. Pertanto, nel caso di un account locale con lo stesso nome utente dell'account di dominio, è molto probabile che l'operazione fallisca.
Windows tenterà prima l'accesso in locale. Se la password è identica a quella dell'account locale, l'operazione andrà a buon fine.
Tuttavia, l'account locale non è membro del gruppo di dominio.
Re: Self Service vuoto
Pubblicato: 2 marzo 2023 - 10:52
di jdziadek
Ok, è più o meno quello che pensavo.
Avevo già configurato l'autenticazione LDAP sul server per la console. Se abilito l'autenticazione dell'agente, ignorerà l'utente locale e invierà la richiesta al server, che si autenticherà autonomamente?
Devo solo aggiungere le righe al file wapt-conf-policy?
Codice: Seleziona tutto
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')
Re: Self Service vuoto
Pubblicato: 2 marzo 2023 - 10:54
di sfontenau
Ecco fatto, ldap_auth_ssl_enabled non è necessario:
Questo è sufficiente:
Codice: Seleziona tutto
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
E se aggiungi Kerberos, l'autenticazione sarà fluida
Re: Self Service vuoto
Pubblicato: 2 marzo 2023 - 10:55
di jdziadek
Kerberos è il passo successivo; proverò prima in questo modo. Grazie per il feedback