[RESOLU] Self Service Vide

Share here your tips or issues concerning WAPT Console or WAPT Agent / Venez ici partager vos problèmes et astuces concernants la console et l'agent WAPT
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

01 mars 2023 - 11:25

Hello, j'ai un soucis avec le self service. ( WAPT entreprise )
J'ai créé un paquet d'UO à la racine de mon organisation, dedans j'ai mit un paquet générique de self-service, et des groupes dans ce paquet. Tout est en minuscule sur l'AD et dans WAPT
app_toto : tout les usagers peuvent voir les logiciels dedans ( groupe tout le monde dans l'AD )
app_toto_admin : Tout les membres du groupe admin sont dans le groupe AD

Donc forcement, les membres de l'admin on accès aux derniers règles, et bien j'ai par exemple un membre du groupe admin qui a le store vide. Alors qu'un autre membre a bien toutes les apps. Les 2 ont exactement la meme conf de machine, et sur l'AD pareil, bien membre des mêmes groupes, j'avoue que je seche.
J'ai raté quelque chose?

Question subsidiaire, j'ai une personne qui a une erreur "unhandled error" lorsqu'il veut se connecter à la console.
où on peut trouver les logs de la console? Depuis la console on peut pas récup les logs d'un client?
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

01 mars 2023 - 11:55

Bonjour

Le problème est différent en fonction de votre configuration

Il y a plusieurs mode :

celui par défault sur l'agent, le mode system (l"identifiant/password) est passer au system et c'est le system qui fait la calcule des group et qui vérifie l'identifiant password:

L'autre mode : waptserver-ldap, l'identifiant/password est passer au serveur wapt et c'est le serveur wapt qui va faire une request ldap pour vérifier l'identifiant mot de passe de l'utilisateurs est les groupe dont il est membre:

Le dernier mode : waptserver-ldap + kerberbos
Ce mode permet un authentification transparente au server wapt et ne demande pas de mot de passe a l'utilisateur. (c'est toujours du ldap qui est fait coter serveur wapt mais cette fois la connexion est faite avec un compte de service.

pouvez-vous nous confirmer que vous êtes dans le mode par défault ?

https://www.wapt.fr/fr/doc/wapt-advance ... tification

Simon
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

01 mars 2023 - 11:58

merci de la réponse rapide, je suis dans le cas par défaut.
Par contre en fouillant je vois que la conf de mes clients wapt ( wapt-get.ini ) est différente, j'essaye d'uniformiser pour voir si cela change des choses.
Julien
Debian 11
WAPT Version : 2.4.0.14143
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

01 mars 2023 - 15:22

Bon, j'ai refait une install propre en purgeant les anciennes conf, toujours rien.
Sur une autre machine j'ai fais la même chose, et la ca fonctionne. Il doit donc avoir un soucis dans la conf de sa machine mais je vois pas quoi.
Un fichier de log est-il lié au self service que je peux consulter?
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

01 mars 2023 - 17:21

vous aurez peu être quelque chose dans C:\Program Files (x86)\wapt\log\waptservice.log

Quand on est en compte system (vous êtes sur une machine windows ?) , windows va interroger l'ad en temps réel pour vérifier le passer les groupes. L'ad est bien dispo ?

Pour faire le test en pure python vous pouvez essayer ceci

cela va renvoyer True si l"utilisateur est bien membre du groupe

Code : Tout sélectionner

C:\Windows\System32>waptpython
Python 3.8.16 (default, Feb  9 2023, 14:27:13) [MSC v.1929 32 bit (Intel)] on win32
Type "help", "copyright", "credits" or "license" for more information.

>>> import win32security
>>> username = "username"
>>> password = "password"
>>> domain = "MYDOMAIN"
>>> mygroup = "mygroup"
>>> huser = win32security.LogonUser(username, domain, password, win32security.LOGON32_LOGON_NETWORK_CLEARTEXT, win32security.LOGON32_PROVIDER_DEFAULT)
>>> sid, system, type = win32security.LookupAccountName(None, mygroup)
>>> win32security.CheckTokenMembership(huser, sid)
True
Si ça marche ici c'est que le problème est ailleurs
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

01 mars 2023 - 17:40

Oui oui je suis bien en Windows, par contre je viens de me souvenir qu'on a migré sur un domaine windows l'année dernière, et qu'on a converti les profils locaux en profil domaine. Si j'ai bien compris le cheminement :
Pour l'authentification au self-service, WAPT va utiliser le compte local sur la machine, et ensuite interroger l'AD pour les droits?
Donc sur une machine si j'ai monuser et monuser.mondomaine.lan il est possible que ca fasse un petit conflit si par exemple le login de monuser est different de celui du compte sur le domaine?
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

02 mars 2023 - 10:44

Par défault domain est a vide ""


Le code wapt lui gère le domaine si vous passez votre nom d'utilisateur avec "MYDOMAIN\username" ou "username@mydomain.lan"

Si le domaine est mis sur vide "" et donc windows se débrouille et donc dans le cas d'un compte local qui existe avec le même nom d'utilisateur que celui du domaine il y a de forte chance que ça merde.

windows va d'abord essayer localement. si le mot de passe est identique au comte local, alors ça marche.

Sauf que votre compte local n'est pas membre du groupe du domaine
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

02 mars 2023 - 10:52

Ok, c'est a peu prêt ce que je pensais.
J'avais déjà configuré l'authentification LDAP sur le serveur pour la console. Si j'active l'authentification des agents ca va bypass l'utilisateur local et envoyer la requete au serveur qui lui va s'authentifier?
J'ai juste à rajouter les lignes dans le wapt-conf-policy ?

Code : Tout sélectionner

inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
inifile_writestring(WAPT.config_filename, 'global', 'ldap_auth_ssl_enabled', 'True')
Debian 11
WAPT Version : 2.4.0.14143
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

02 mars 2023 - 10:54

C'est ça, juste ldap_auth_ssl_enabled n'est pas nécessaire :

Ceci est suffisant :

Code : Tout sélectionner

inifile_writestring(WAPT.config_filename, 'global', 'service_auth_type', 'waptserver-ldap')
Et si vous ajouter le kerberos l'authentification sera transparente
jdziadek
Messages : 47
Inscription : 23 janv. 2023 - 16:10

02 mars 2023 - 10:55

Le Kerberos est la prochaine étape, je vais déjà testé comme ca, merci pour les retours
Debian 11
WAPT Version : 2.4.0.14143
Verrouillé