Hello, j'ai un soucis avec le self service. ( WAPT entreprise )
J'ai créé un paquet d'UO à la racine de mon organisation, dedans j'ai mit un paquet générique de self-service, et des groupes dans ce paquet. Tout est en minuscule sur l'AD et dans WAPT
app_toto : tout les usagers peuvent voir les logiciels dedans ( groupe tout le monde dans l'AD )
app_toto_admin : Tout les membres du groupe admin sont dans le groupe AD
Donc forcement, les membres de l'admin on accès aux derniers règles, et bien j'ai par exemple un membre du groupe admin qui a le store vide. Alors qu'un autre membre a bien toutes les apps. Les 2 ont exactement la meme conf de machine, et sur l'AD pareil, bien membre des mêmes groupes, j'avoue que je seche.
J'ai raté quelque chose?
Question subsidiaire, j'ai une personne qui a une erreur "unhandled error" lorsqu'il veut se connecter à la console.
où on peut trouver les logs de la console? Depuis la console on peut pas récup les logs d'un client?
[RESOLU] Self Service Vide
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
- sfonteneau
- Expert WAPT
- Messages : 1800
- Inscription : 10 juil. 2014 - 23:52
- Contact :
Bonjour
Le problème est différent en fonction de votre configuration
Il y a plusieurs mode :
celui par défault sur l'agent, le mode system (l"identifiant/password) est passer au system et c'est le system qui fait la calcule des group et qui vérifie l'identifiant password:
L'autre mode : waptserver-ldap, l'identifiant/password est passer au serveur wapt et c'est le serveur wapt qui va faire une request ldap pour vérifier l'identifiant mot de passe de l'utilisateurs est les groupe dont il est membre:
Le dernier mode : waptserver-ldap + kerberbos
Ce mode permet un authentification transparente au server wapt et ne demande pas de mot de passe a l'utilisateur. (c'est toujours du ldap qui est fait coter serveur wapt mais cette fois la connexion est faite avec un compte de service.
pouvez-vous nous confirmer que vous êtes dans le mode par défault ?
https://www.wapt.fr/fr/doc/wapt-advance ... tification
Simon
Le problème est différent en fonction de votre configuration
Il y a plusieurs mode :
celui par défault sur l'agent, le mode system (l"identifiant/password) est passer au system et c'est le system qui fait la calcule des group et qui vérifie l'identifiant password:
L'autre mode : waptserver-ldap, l'identifiant/password est passer au serveur wapt et c'est le serveur wapt qui va faire une request ldap pour vérifier l'identifiant mot de passe de l'utilisateurs est les groupe dont il est membre:
Le dernier mode : waptserver-ldap + kerberbos
Ce mode permet un authentification transparente au server wapt et ne demande pas de mot de passe a l'utilisateur. (c'est toujours du ldap qui est fait coter serveur wapt mais cette fois la connexion est faite avec un compte de service.
pouvez-vous nous confirmer que vous êtes dans le mode par défault ?
https://www.wapt.fr/fr/doc/wapt-advance ... tification
Simon
merci de la réponse rapide, je suis dans le cas par défaut.
Par contre en fouillant je vois que la conf de mes clients wapt ( wapt-get.ini ) est différente, j'essaye d'uniformiser pour voir si cela change des choses.
Julien
Par contre en fouillant je vois que la conf de mes clients wapt ( wapt-get.ini ) est différente, j'essaye d'uniformiser pour voir si cela change des choses.
Julien
Debian 11
WAPT Version : 2.4.0.14143
WAPT Version : 2.4.0.14143
Bon, j'ai refait une install propre en purgeant les anciennes conf, toujours rien.
Sur une autre machine j'ai fais la même chose, et la ca fonctionne. Il doit donc avoir un soucis dans la conf de sa machine mais je vois pas quoi.
Un fichier de log est-il lié au self service que je peux consulter?
Sur une autre machine j'ai fais la même chose, et la ca fonctionne. Il doit donc avoir un soucis dans la conf de sa machine mais je vois pas quoi.
Un fichier de log est-il lié au self service que je peux consulter?
Debian 11
WAPT Version : 2.4.0.14143
WAPT Version : 2.4.0.14143
- sfonteneau
- Expert WAPT
- Messages : 1800
- Inscription : 10 juil. 2014 - 23:52
- Contact :
vous aurez peu être quelque chose dans C:\Program Files (x86)\wapt\log\waptservice.log
Quand on est en compte system (vous êtes sur une machine windows ?) , windows va interroger l'ad en temps réel pour vérifier le passer les groupes. L'ad est bien dispo ?
Pour faire le test en pure python vous pouvez essayer ceci
cela va renvoyer True si l"utilisateur est bien membre du groupe
Si ça marche ici c'est que le problème est ailleurs
Quand on est en compte system (vous êtes sur une machine windows ?) , windows va interroger l'ad en temps réel pour vérifier le passer les groupes. L'ad est bien dispo ?
Pour faire le test en pure python vous pouvez essayer ceci
cela va renvoyer True si l"utilisateur est bien membre du groupe
Code : Tout sélectionner
C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb 9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True
Oui oui je suis bien en Windows, par contre je viens de me souvenir qu'on a migré sur un domaine windows l'année dernière, et qu'on a converti les profils locaux en profil domaine. Si j'ai bien compris le cheminement :
Pour l'authentification au self-service, WAPT va utiliser le compte local sur la machine, et ensuite interroger l'AD pour les droits?
Donc sur une machine si j'ai monuser et monuser.mondomaine.lan il est possible que ca fasse un petit conflit si par exemple le login de monuser est different de celui du compte sur le domaine?
Pour l'authentification au self-service, WAPT va utiliser le compte local sur la machine, et ensuite interroger l'AD pour les droits?
Donc sur une machine si j'ai monuser et monuser.mondomaine.lan il est possible que ca fasse un petit conflit si par exemple le login de monuser est different de celui du compte sur le domaine?
Debian 11
WAPT Version : 2.4.0.14143
WAPT Version : 2.4.0.14143
- sfonteneau
- Expert WAPT
- Messages : 1800
- Inscription : 10 juil. 2014 - 23:52
- Contact :
Par défault domain est a vide ""
Le code wapt lui gère le domaine si vous passez votre nom d'utilisateur avec "MYDOMAIN\username" ou "username@mydomain.lan"
Si le domaine est mis sur vide "" et donc windows se débrouille et donc dans le cas d'un compte local qui existe avec le même nom d'utilisateur que celui du domaine il y a de forte chance que ça merde.
windows va d'abord essayer localement. si le mot de passe est identique au comte local, alors ça marche.
Sauf que votre compte local n'est pas membre du groupe du domaine
Le code wapt lui gère le domaine si vous passez votre nom d'utilisateur avec "MYDOMAIN\username" ou "username@mydomain.lan"
Si le domaine est mis sur vide "" et donc windows se débrouille et donc dans le cas d'un compte local qui existe avec le même nom d'utilisateur que celui du domaine il y a de forte chance que ça merde.
windows va d'abord essayer localement. si le mot de passe est identique au comte local, alors ça marche.
Sauf que votre compte local n'est pas membre du groupe du domaine
Ok, c'est a peu prêt ce que je pensais.
J'avais déjà configuré l'authentification LDAP sur le serveur pour la console. Si j'active l'authentification des agents ca va bypass l'utilisateur local et envoyer la requete au serveur qui lui va s'authentifier?
J'ai juste à rajouter les lignes dans le wapt-conf-policy ?
J'avais déjà configuré l'authentification LDAP sur le serveur pour la console. Si j'active l'authentification des agents ca va bypass l'utilisateur local et envoyer la requete au serveur qui lui va s'authentifier?
J'ai juste à rajouter les lignes dans le wapt-conf-policy ?
Code : Tout sélectionner
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')
Debian 11
WAPT Version : 2.4.0.14143
WAPT Version : 2.4.0.14143
- sfonteneau
- Expert WAPT
- Messages : 1800
- Inscription : 10 juil. 2014 - 23:52
- Contact :
C'est ça, juste ldap_auth_ssl_enabled n'est pas nécessaire :
Ceci est suffisant :
Et si vous ajouter le kerberos l'authentification sera transparente
Ceci est suffisant :
Code : Tout sélectionner
inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')