Bonjour à tous,
Actuellement nous utilisons en python win32security.LogonUser pour authentifier les utilisateurs et récupérer les groupes et la fonction nous demande le mot de passe de l'utilisateur ... ce qui explique la demande de mot de passe.
A long terme on pourrait pourquoi pas récupérer un ticket kerberos pour un accès ldap dans la session et le passer au service wapt pour qu'il fasse lui même une requette vers l'ad pour vérifier l'authentification et les groupes.
Reste le problème des postes hors domaine, des mac des linux, des xp... bref c'est compliquer et plus c'est compliqué, plus il y a des risque de problème.
Hubert proposait de demander l'authentification une seul fois et de créer un token dans la profile windows, le token contiens le nom d’utilisateur avec la liste les groupes. Et lors d'une ré authentification on utilise ce token.
Le problème de la méthode c'est que si la liste des groupes de l'utilisateur change, lui le token ne change pas ...
Bref il n'y a pas de solution vraiment simple...
pour compléter :
le serveur WAPT gère l'authentification kerberos (enregistrement automatique sécurisé des postes), donc gérer un ticket kerberos on le fait déjà dans certain cas à travers un plugin spnego nginx.
Dans le cas du selfservice l'authentification se passe localement et il n'y a pas de service nginx, juste un process Python. Il faudrait donc commencer à arriver à faire gérer le spnego par ce process python... Il faudrait aussi voir quel ticket on prend, quel est le nom FQDN que l'on demande au serveur kerberos (c'est pas aussi trivial qu'on le pense avec les conf alambiqué que l'on trouve en production), est ce que l'on rajoute des SPN spécifique ou non, est ce que le serveur AD est disponible (cas où l'on est à l'extérieur sans VPN), est ce que le serveur AD existe (poste hors domaine), etC.
Pour info actuellement on travail également sur une possibilités d'authentification relais:
En gros l'authentification du selfservice pourra passer par le serveur wapt et c'est le serveur wapt qui contactera directement le serveur ldap. Ceci permettra d'avoir un selfservice "ldap" pour les client linux, mac et également windows hors domaine.
Le projet en cours d'authentification déléguée au serveur Wapt me donne une idée. Le logon du selfservice pourrait demandé une authentification kerberos au serveur WAPT à travers le process LSASS.exe (ça marche déjà, c'est juste qu'on les ignore car elles ne sont pas censés arriver), et fournir un token d'authentification qui pourra être passé au service qui n'aura qu'à le revalider auprès du serveur WAPT. A voir.
Pour l'instant, comme Simon le dit, on travaille à étendre le concept d'authentification login/mdp selfservice aux Linux, Mac, et postes hors domaine.
Bon confinement,
Denis
Simon
Le 16/04/2020 à 10:07, Gaëtan SEGAT a écrit :
Bonjour Vincent,
actuellement c'est le comportement que nous avons au lancement du self-service :
Si l'on lance en tant qu'administrateur, l'identifiant change bien.
*Gaëtan SEGAT * Gestionnaire Parc Informatique Inserm| DRSI Toulouse CHU Purpan – BP 3048 | 31024 Toulouse cedex 3 Tél. 05 62 74 83 58
Le 16/04/2020 à 10:03, Vincent CARDON a écrit :
*---> AVERTISSEMENT - WARNING *Cette bannière a été ajoutée par l'anti-spam de la messagerie de l'Inserm. Le courrier suivant est soupçonné d'être un phishing. Si vous n'avez pas sollicité ce message, *ne fournissez pas votre nom d'utilisateur et mot de passe, y compris sur une page Web.* En cas de doute ou de faux positif, contactez votre équipe informatique régionale ou nous-même : messagerie@inserm.fr This banner has been added by the INSERM's anti-spam system. The following mail is a suspected phishing message. If you have not requested it, *do not provide your username and password, including on a Web page.* In case of doubt or false positive, ask your local IT team or contact us : messagerie@inserm.fr Merci pour votre vigilance - Thank you for your vigilance.
Voici à la suite, le message suspect - The suspected mail follows :
Merci Gaëtan, tu as décrit le cas d'usage qui nous fait réfléchir à activer ou non la console self-service avec le compte kerberos de l'utilisateur connecté.
Je pense que le comportement actuel (sans SSO kerberos) est le plus générique.
Peut être qu'on pourrait simplement aider l'utilisateur à ne devoir mettre que son mot de passe, comme ça se passe souvent avec l'ouverture d'une session Windows, c'est à dire proposer par défaut l'identifiant de l'utilisateur en cours et le champ de mot passe vide. Ce comportement saurait-il mieux vous convenir Christophe ?
Bonne semaine.
Vincent
----- Le 16 Avr 20, à 9:33, Gaëtan SEGAT gaetan.segat@inserm.fr a écrit :
Bonjour Christophe, la nouvelle identification est le comportement normal du self service comme indiqué : https://www.wapt.fr/fr/doc/wapt-usage/wapt-selfservice.html?highlight=self%20service Je ne sais pas s'il est possible de ne pas le faire. Néanmoins c'est une bonne chose, cela permet ainsi à un administrateur de ce connecter avec son compte et faire des installations à la volée sur un poste (notre cas en dépannage). En effet il est possible de paramétrer pour qu'un groupe AD voit l'intégralité du catalogue. Bonne journée, ---------------------------------------------------------------------------------------------- *Gaëtan SEGAT * Gestionnaire Parc Informatique Inserm| DRSI Toulouse CHU Purpan – BP 3048 | 31024 Toulouse cedex 3 Tél. 05 62 74 83 58 <http://www.inserm.fr> Le 15/04/2020 à 21:53, MILLIEN Christophe a écrit : Bonjour, Nous sommes en cours de tests pour un futur déploiement de Wapt dans notre parc. La partie qui nous intéresse le plus est le self-service. Nous sommes dans un environnement Active-Directory et nous avons installé un client sur une machine et elle s’est bien retrouvé dans la console sans authentification sur le poste. Ce que je ne comprends pas c’est pourquoi, alors que je me suis authentifier pour ouvrir une session, on me redemande mon identité au démarrage du self-service ? Ai-je mal paramétré quelque chose ? Comment faire pour éviter cette nouvelle saisie et utiliser le jeton Kerberos ? Bonne journée, Christophe ------------------- *Christophe MILLIEN* - 01 69 82 31 71 (même en confinement) Responsable du Service Informatique et Calcul Scientifique I2BC - Bat 34 - 1 Avenue de la Terrasse - 91198 Gif / Yvette _______________________________________________ WAPT mailing list WAPT@lists.tranquil.it <mailto:WAPT@lists.tranquil.it> http://lists.tranquil.it/listinfo/wapt _______________________________________________ WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt-- Vincent CARDON, Président Tranquil IT 12 avenue Jules Verne Bâtiment A (Alliance Libre) 44230 Saint Sébastien sur Loire (FRANCE) tel: +33(0)240 975 755 https://www.tranquil.it
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt