Bonjour a tous

Actuellement nous utilisons en python win32security.LogonUser pour authentifier les utilisateurs et récupérer les groupes et la fonction nous demande le mot de passe de l'utilisateur ... ce qui explique la demande de mot de passe.

A long terme on pourrait pourquoi pas récupérer un ticket kerberos pour un accès ldap dans la session et le passer au service wapt pour qu'il fasse lui même une requette vers l'ad pour vérifier l'authentification et les groupes.

Reste le problème des postes hors domaine, des mac des linux, des xp... bref c'est compliquer et plus c'est compliqué, plus il y a des risque de problème.

Hubert proposait de demander l'authentification une seul fois et de créer un token dans la profile windows, le token contiens le nom d’utilisateur avec la liste les groupes. Et lors d'une ré authentification on utilise ce token.

Le problème de la méthode c'est que si la liste des groupes de l'utilisateur change, lui le token ne change pas ...

Bref il n'y a pas de solution vraiment simple...

Pour info actuellement on travail également sur une possibilités d'authentification relais:

En gros l'authentification du selfservice pourra passer par le serveur wapt et c'est le serveur wapt qui contactera directement le serveur ldap. Ceci permettra d'avoir un selfservice "ldap" pour les client linux, mac et également windows hors domaine.

Simon




Le 16/04/2020 à 10:07, Gaëtan SEGAT a écrit :

Bonjour Vincent,

actuellement c'est le comportement que nous avons au lancement du self-service :

Si l'on lance en tant qu'administrateur, l'identifiant change bien.

----------------------------------------------------------------------------------------------
Gaëtan SEGAT
Gestionnaire Parc Informatique
Inserm | DRSI Toulouse
CHU Purpan – BP 3048 | 31024 Toulouse cedex 3
Tél. 05 62 74 83 58


Le 16/04/2020 à 10:03, Vincent CARDON a écrit :
    
--->  AVERTISSEMENT - WARNING

Cette bannière a été ajoutée par l'anti-spam de la messagerie de l'Inserm. Le courrier suivant est soupçonné d'être un phishing.
Si vous n'avez pas sollicité ce message, ne fournissez pas votre nom d'utilisateur et mot de passe, y compris sur une page Web.
En cas de doute ou de faux positif, contactez votre équipe informatique régionale ou nous-même : messagerie@inserm.fr

This banner has been added by the INSERM's anti-spam system. The following mail is a suspected phishing message.
If you have not requested it, do not provide your username and password, including on a Web page.
In case of doubt or false positive, ask your local IT team or contact us : messagerie@inserm.fr

Merci pour votre vigilance - Thank you for your vigilance.


Voici à la suite, le message suspect - The suspected mail follows :
Merci Gaëtan, tu as décrit le cas d'usage qui nous fait réfléchir à activer ou non la console self-service avec le compte kerberos de l'utilisateur connecté.

Je pense que le comportement actuel (sans SSO kerberos) est le plus générique.

Peut être qu'on pourrait simplement aider l'utilisateur à ne devoir mettre que son mot de passe, comme ça se passe souvent avec l'ouverture d'une session Windows, c'est à dire proposer par défaut l'identifiant de l'utilisateur en cours et le champ de mot passe vide. Ce comportement saurait-il mieux vous convenir Christophe ?

Bonne semaine.

Vincent

----- Le 16 Avr 20, à 9:33, Gaëtan SEGAT <gaetan.segat@inserm.fr> a écrit :

Bonjour Christophe,

la nouvelle identification est le comportement normal du self service comme indiqué : https://www.wapt.fr/fr/doc/wapt-usage/wapt-selfservice.html?highlight=self%20service

Je ne sais pas s'il est possible de ne pas le faire.

Néanmoins c'est une bonne chose, cela permet ainsi à un administrateur de ce connecter avec son compte et faire des installations à la volée sur un poste (notre cas en dépannage).
En effet il est possible de paramétrer pour qu'un groupe AD voit l'intégralité du catalogue.

Bonne journée,

----------------------------------------------------------------------------------------------
Gaëtan SEGAT
Gestionnaire Parc Informatique
Inserm | DRSI Toulouse
CHU Purpan – BP 3048 | 31024 Toulouse cedex 3
Tél. 05 62 74 83 58


Le 15/04/2020 à 21:53, MILLIEN Christophe a écrit :

Bonjour,

 

Nous sommes en cours de tests pour un futur déploiement de Wapt dans notre parc.

La partie qui nous intéresse le plus est le self-service.

Nous sommes dans un environnement Active-Directory et nous avons installé un client sur une machine et elle s’est bien retrouvé dans la console sans authentification sur le poste.

Ce que je ne comprends pas c’est pourquoi, alors que je me suis authentifier pour ouvrir une session, on me redemande mon identité  au démarrage du self-service ?

 

Ai-je mal paramétré quelque chose ?

Comment faire pour éviter cette nouvelle saisie et utiliser le jeton Kerberos ?

 

Bonne journée,

 

Christophe

 

-------------------

Christophe MILLIEN - 01 69 82 31 71 (même en confinement)

Responsable du Service Informatique et Calcul Scientifique

I2BC - Bat 34 - 1 Avenue de la Terrasse - 91198 Gif / Yvette

 


_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt

_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt

--
Vincent CARDON, Président
Tranquil IT
12 avenue Jules Verne
Bâtiment A (Alliance Libre)
44230 Saint Sébastien sur Loire (FRANCE)
tel: +33(0)240 975 755
https://www.tranquil.it

_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt


_______________________________________________
WAPT mailing list
WAPT@lists.tranquil.it
http://lists.tranquil.it/listinfo/wapt