Bonjour,
Nous avons majoritairement un parc composé de machines Windows, globalement ça fonctionne très bien mais souhaiterions ajouter wapt sur les quelques mac qu'on est contraint d'avoir.
Nous les avons enregistré sans soucis dans la console wapt, ils remontent bien et on peut pousser sans problèmes des paquets dessus, qui s'installent bien.
Par contre le self-service est désespérément vide, et il ne semble pas y avoir d'équivalent du wapttray (dommage!).
Nous avons supposé que c'était parce que les mac n'étaient pas dans l'AD (Samba-AD pour faire bien), donc nous les avons ajoutés, dans la même OU que les postes Windows. Rien n'y fait, le self-service est toujours vide.
Le paquet "self-service" qui contient les paquets que nous souhaitons mettre à disposition des collaborateurs est bien installé sur les macs. Il contient des déclarations de groupes qui contiennent les utilisateurs connectés au macs, avec des applications déployées pour ces groupes, et des applications qui en plus sont présentes en version "macos" dans le repo.
L'authentification sur le self-service se fait en "system" sauf erreur de ma part.
Nous sommes en wapt 2.6.0.16767 upgradé aujourd'hui même.
J'ai essayé de chercher dans le fichier de log waptservice.log, tout ce que je vois dedans c'est qu'il y a 0 paquets.
Est-ce que quelqu'un aurait une idée peut-être?
[RESOLU] Self Service sur mac
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
-
yoann.montouchet
- Messages : 13
- Enregistré le : 10 janv. 2025 - 18:32
Modifié en dernier par yoann.montouchet le 13 janv. 2025 - 11:15, modifié 1 fois.
-
sfonteneau
- Expert WAPT
- Messages : 2084
- Enregistré le : 10 juil. 2014 - 23:52
- Contact :
Bonjour,
Avez-vous un compte local sur le MAC qui porterai le même nom que l'utilisateur du domain loguer ?
il y a bien un fichier /etc/krb5.conf sur le mac ?
Les information Ad paraisse bien pour le mac dans la console . (L'OU de la machine par exemple) ?
Qu'elle est la version de votre samba active directory ?
L'alternative pourrais être de vous mettre en mode :
service_auth_type=waptserver-ldap
ce qui permet de transferer l'authentification au server wapt (il faut que l'authentification ldap coter serveur wapt soit configurer)
Avez-vous un compte local sur le MAC qui porterai le même nom que l'utilisateur du domain loguer ?
il y a bien un fichier /etc/krb5.conf sur le mac ?
Les information Ad paraisse bien pour le mac dans la console . (L'OU de la machine par exemple) ?
Qu'elle est la version de votre samba active directory ?
L'alternative pourrais être de vous mettre en mode :
service_auth_type=waptserver-ldap
ce qui permet de transferer l'authentification au server wapt (il faut que l'authentification ldap coter serveur wapt soit configurer)
-
yoann.montouchet
- Messages : 13
- Enregistré le : 10 janv. 2025 - 18:32
Merci pour vos réponses!
Voici mon retour :
Avez-vous un compte local sur le MAC qui porterai le même nom que l'utilisateur du domain loguer ? => alors oui et non, on a des comptes "mobiles" qui sont du coup issus de la connexion à l'AD, avec les noms des comptes de l'AD. Ces comptes sont créés automatiquement à la connexion, mais ne sont pas vraiment des comptes locaux.
il y a bien un fichier /etc/krb5.conf sur le mac ? => oui, je confirme, avec les informations de connexion correctes à l'AD
Les information Ad paraisse bien pour le mac dans la console . (L'OU de la machine par exemple) ? => oui, je retrouve bien les machines dans la bonne OU dans l'arborescence à gauche
Qu'elle est la version de votre samba active directory ? => 4.19.9
Je vois par contre dans la console que le compte connecté, tel que vu par wapt, est le compte local qui est admin. Le compte AD n'est pas admin du poste (du coup impossible d'utiliser les commandes wapt-get apparemment, contrairement à Windows).
Mais le self-service quand je l'ouvre, j'ai bien mon utilisateur AD qui apparait en bas à gauche.
Pour le fonctionnement avec :
On a essayé sur les postes Windows, après passage à la version 2.6, mais on a des erreurs en pagaille et on a dû pousser sur tous les postes une configuration de l'agent pour forcer le retour au mode "system" sans quoi le self-service ne marchait pas. On a fait toute la configuration ldap côté serveur wapt, avec test via le script ok :
Voilà les erreurs qu'on avait :
Voici mon retour :
Avez-vous un compte local sur le MAC qui porterai le même nom que l'utilisateur du domain loguer ? => alors oui et non, on a des comptes "mobiles" qui sont du coup issus de la connexion à l'AD, avec les noms des comptes de l'AD. Ces comptes sont créés automatiquement à la connexion, mais ne sont pas vraiment des comptes locaux.
il y a bien un fichier /etc/krb5.conf sur le mac ? => oui, je confirme, avec les informations de connexion correctes à l'AD
Les information Ad paraisse bien pour le mac dans la console . (L'OU de la machine par exemple) ? => oui, je retrouve bien les machines dans la bonne OU dans l'arborescence à gauche
Qu'elle est la version de votre samba active directory ? => 4.19.9
Je vois par contre dans la console que le compte connecté, tel que vu par wapt, est le compte local qui est admin. Le compte AD n'est pas admin du poste (du coup impossible d'utiliser les commandes wapt-get apparemment, contrairement à Windows).
Mais le self-service quand je l'ouvre, j'ai bien mon utilisateur AD qui apparait en bas à gauche.
Pour le fonctionnement avec :
Code : Tout sélectionner
service_auth_type=waptserver-ldapCode : Tout sélectionner
root@si-wapt-01:~# /opt/wapt/waptserver/scripts/testing-ldap-connectivity.sh
----------------------------------------------------------------
Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Username : yoann.montouchet
Group test member : nvm4windows
----------------------------------------------------------------
[OK] Test SSO SELFSERVICE LDAP with ldap_account_service_login
----------------------------------------------------------------
Test ldap with direct Login
----------------------------------------------------------------
Username ldap: yoann.montouchet
Password ldap:
Group test member : nvm4windows
--------
ALL GOOD
--------Code : Tout sélectionner
2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs
2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur-
sfonteneau
- Expert WAPT
- Messages : 2084
- Enregistré le : 10 juil. 2014 - 23:52
- Contact :
yoann.montouchet a écrit : ↑13 janv. 2025 - 09:30 Pour le fonctionnement avec :On a essayé sur les postes Windows, après passage à la version 2.6, mais on a des erreurs en pagaille et on a dû pousser sur tous les postes une configuration de l'agent pour forcer le retour au mode "system" sans quoi le self-service ne marchait pas.Code : Tout sélectionner
service_auth_type=waptserver-ldap
Voilà les erreurs qu'on avait :Code : Tout sélectionner
2025-01-10 14:13:37,294 [wapttasks CP Server Thread-11 19600] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs 2025-01-10 14:13:44,111 [wapttasks CP Server Thread-10 23876] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs 2025-01-10 14:13:50,884 [wapttasks CP Server Thread-5 19640] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs 2025-01-10 14:13:57,681 [wapttasks CP Server Thread-4 9412] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateurs 2025-01-10 14:14:04,475 [wapttasks CP Server Thread-6 23348] WARNING check_auth_groups: Self service authentication failed for yoann.montouchet: Invalid input name: builtin\utilisateur
Vous avez mis dans votre paquet de règles selfservice "builtin\utilisateur" ??
Si oui il serais préférable de mettre "domain users"
-
yoann.montouchet
- Messages : 13
- Enregistré le : 10 janv. 2025 - 18:32
Je confirme! Effectivement la plupart des paquets dans le self-service sont affectés à ce groupe! 
Je vois pour corriger ça et refait les tests avec waptserver-ldap...
Je vous tiens au courant, merci!
Je vois pour corriger ça et refait les tests avec waptserver-ldap...
Je vous tiens au courant, merci!
-
yoann.montouchet
- Messages : 13
- Enregistré le : 10 janv. 2025 - 18:32
Je confirme à la fois que waptserver-ldap fonctionne maintenant parfaitement (donc SSO ok! ), et qu'en plus cela à corrigé le self-service sur les macs...
Je suggère de mettre à jour la doc pour plus mettre en avant le changement du paramètre par défaut pour "service_auth_type", chez nous la montée de version de la 2.5.5 à la 2.6.0 ne faisait plus marcher le self-service à cause de ça!
Merci beaucoup pour votre aide!
), et qu'en plus cela à corrigé le self-service sur les macs...Je suggère de mettre à jour la doc pour plus mettre en avant le changement du paramètre par défaut pour "service_auth_type", chez nous la montée de version de la 2.5.5 à la 2.6.0 ne faisait plus marcher le self-service à cause de ça!
Merci beaucoup pour votre aide!
-
sfonteneau
- Expert WAPT
- Messages : 2084
- Enregistré le : 10 juil. 2014 - 23:52
- Contact :
Merci pour le retour
Normalement filetoken devrais fonctionne
Je me demande si ce n'est pas builtin\utilisateurs qui le faisais planter !
Autre possibilité comme je disais c'est qu'un compte local qui porte le même nom existe
Normalement filetoken devrais fonctionne
Je me demande si ce n'est pas builtin\utilisateurs qui le faisais planter !
Autre possibilité comme je disais c'est qu'un compte local qui porte le même nom existe
