[Wapt] Pourquoi entrer des identifiants au démarrage du self service

Simon FONTENEAU sfonteneau at tranquil.it
Thu Apr 16 10:53:12 CEST 2020 

Bonjour a tous

Actuellement nous utilisons en python win32security.LogonUser pour
authentifier les utilisateurs et récupérer les groupes et la fonction
nous demande le mot de passe de l'utilisateur ... ce qui explique la
demande de mot de passe.

A long terme on pourrait pourquoi pas récupérer un ticket kerberos pour
un accès ldap dans la session et le passer au service wapt pour qu'il
fasse lui même une requette vers l'ad pour vérifier l'authentification
et les groupes.

Reste le problème des postes hors domaine, des mac des linux, des xp...
bref c'est compliquer et plus c'est compliqué, plus il y a des risque de
problème.

Hubert proposait de demander l'authentification une seul fois et de
créer un token dans la profile windows, le token contiens le nom
d’utilisateur avec la liste les groupes. Et lors d'une ré
authentification on utilise ce token.

Le problème de la méthode c'est que si la liste des groupes de
l'utilisateur change, lui le token ne change pas ...

Bref il n'y a pas de solution vraiment simple...

Pour info actuellement on travail également sur une possibilités
d'authentification relais:

En gros l'authentification du selfservice pourra passer par le serveur
wapt et c'est le serveur wapt qui contactera directement le serveur
ldap. Ceci permettra d'avoir un selfservice "ldap" pour les client
linux, mac et également windows hors domaine.

Simon




Le 16/04/2020 à 10:07, Gaëtan SEGAT a écrit :
>
> Bonjour Vincent,
>
> actuellement c'est le comportement que nous avons au lancement du
> self-service :
>
> Si l'on lance en tant qu'administrateur, l'identifiant change bien.
>
> ----------------------------------------------------------------------------------------------
>
> *Gaëtan SEGAT *
> Gestionnaire Parc Informatique
> Inserm| DRSI Toulouse
> CHU Purpan – BP 3048 | 31024 Toulouse cedex 3
> Tél. 05 62 74 83 58
>
> <http://www.inserm.fr>
>
> Le 16/04/2020 à 10:03, Vincent CARDON a écrit :
>>     
>> *---> AVERTISSEMENT - WARNING *Cette bannière a été ajoutée par l'anti-spam de la messagerie de
>> l'Inserm. Le courrier suivant est soupçonné d'être un phishing. Si
>> vous n'avez pas sollicité ce message, *ne fournissez pas votre nom
>> d'utilisateur et mot de passe, y compris sur une page Web.* En cas de
>> doute ou de faux positif, contactez votre équipe informatique
>> régionale ou nous-même : messagerie at inserm.fr This banner has been
>> added by the INSERM's anti-spam system. The following mail is a
>> suspected phishing message. If you have not requested it, *do not
>> provide your username and password, including on a Web page.* In case
>> of doubt or false positive, ask your local IT team or contact us :
>> messagerie at inserm.fr Merci pour votre vigilance - Thank you for your
>> vigilance.
>>
>> Voici à la suite, le message suspect - The suspected mail follows :
>> ------------------------------------------------------------------------
>>
>>
>> Merci Gaëtan, tu as décrit le cas d'usage qui nous fait réfléchir à
>> activer ou non la console self-service avec le compte kerberos de
>> l'utilisateur connecté.
>>
>> Je pense que le comportement actuel (sans SSO kerberos) est le plus
>> générique.
>>
>> Peut être qu'on pourrait simplement aider l'utilisateur à ne devoir
>> mettre que son mot de passe, comme ça se passe souvent avec
>> l'ouverture d'une session Windows, c'est à dire proposer par défaut
>> l'identifiant de l'utilisateur en cours et le champ de mot passe
>> vide. Ce comportement saurait-il mieux vous convenir Christophe ?
>>
>> Bonne semaine.
>>
>> Vincent
>>
>> ----- Le 16 Avr 20, à 9:33, Gaëtan SEGAT <gaetan.segat at inserm.fr> a
>> écrit :
>>
>>     Bonjour Christophe,
>>
>>     la nouvelle identification est le comportement normal du self
>>     service comme indiqué :
>>     https://www.wapt.fr/fr/doc/wapt-usage/wapt-selfservice.html?highlight=self%20service
>>
>>     Je ne sais pas s'il est possible de ne pas le faire.
>>
>>     Néanmoins c'est une bonne chose, cela permet ainsi à un
>>     administrateur de ce connecter avec son compte et faire des
>>     installations à la volée sur un poste (notre cas en dépannage).
>>     En effet il est possible de paramétrer pour qu'un groupe AD voit
>>     l'intégralité du catalogue.
>>
>>     Bonne journée,
>>
>>     ----------------------------------------------------------------------------------------------
>>
>>     *Gaëtan SEGAT *
>>     Gestionnaire Parc Informatique
>>     Inserm| DRSI Toulouse
>>     CHU Purpan – BP 3048 | 31024 Toulouse cedex 3
>>     Tél. 05 62 74 83 58
>>
>>     <http://www.inserm.fr>
>>
>>     Le 15/04/2020 à 21:53, MILLIEN Christophe a écrit :
>>
>>         Bonjour,
>>
>>          
>>
>>         Nous sommes en cours de tests pour un futur déploiement de
>>         Wapt dans notre parc.
>>
>>         La partie qui nous intéresse le plus est le self-service.
>>
>>         Nous sommes dans un environnement Active-Directory et nous
>>         avons installé un client sur une machine et elle s’est bien
>>         retrouvé dans la console sans authentification sur le poste.
>>
>>         Ce que je ne comprends pas c’est pourquoi, alors que je me
>>         suis authentifier pour ouvrir une session, on me redemande
>>         mon identité  au démarrage du self-service ?
>>
>>          
>>
>>         Ai-je mal paramétré quelque chose ?
>>
>>         Comment faire pour éviter cette nouvelle saisie et utiliser
>>         le jeton Kerberos ?
>>
>>          
>>
>>         Bonne journée,
>>
>>          
>>
>>         Christophe
>>
>>          
>>
>>         -------------------
>>
>>         *Christophe MILLIEN* - 01 69 82 31 71 (même en confinement)
>>
>>         Responsable du Service Informatique et Calcul Scientifique
>>
>>         I2BC - Bat 34 - 1 Avenue de la Terrasse - 91198 Gif / Yvette
>>
>>          
>>
>>
>>         _______________________________________________
>>         WAPT mailing list
>>         WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
>>         http://lists.tranquil.it/listinfo/wapt
>>
>>
>>     _______________________________________________
>>     WAPT mailing list
>>     WAPT at lists.tranquil.it
>>     http://lists.tranquil.it/listinfo/wapt
>>
>>
>> -- 
>> Vincent CARDON, Président
>> Tranquil IT
>> 12 avenue Jules Verne
>> Bâtiment A (Alliance Libre)
>> 44230 Saint Sébastien sur Loire (FRANCE)
>> tel: +33(0)240 975 755
>> https://www.tranquil.it
>>
>> _______________________________________________
>> WAPT mailing list
>> WAPT at lists.tranquil.it
>> http://lists.tranquil.it/listinfo/wapt
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20200416/c7a8caf0/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: enhigodddohclmah.png
Type: image/png
Size: 12087 bytes
Desc: not available
URL: <http://lists.tranquil.it/pipermail/wapt/attachments/20200416/c7a8caf0/attachment.png>

More information about the WAPT mailing list