[Wapt] Pourquoi entrer des identifiants au démarrage du self service
Simon FONTENEAU
sfonteneau at tranquil.it
Tue Jun 16 15:24:45 CEST 2020
Pour information Philippe c'est maintenant disponible :
https://www.wapt.fr/fr/doc/wapt-usage/wapt-selfservice.html?highlight=self#configuring-a-different-authentication-method-for-the-selfservice
Simon
Le 17/04/2020 à 18:49, LEMAIRE Philippe a écrit :
> Bonjour,
>
> Pour rebondir sur cette question.
> Notre configuration est la suivante (elle a évolué suite à l'arrêt du lycée depuis maintenant 2 mois 1/2) :
> Une grande partie des postes sont sur l'AD, ainsi que tous les utilisateurs.
> Les portables des enseignants sont maintenant hors domaine (gérés par un MDM extérieur synchro avec notre AD)
> Du coups nous avons perdu complètement la possibilité d'utiliser le self-service sur ces postes hors domaine, ce qui est vraiment dommage.
>
> Je suis donc très intéressé par toute évolution sur cette question d'authentification.
> Si vous cherchez un beta testeurs (même si il faut mettre les mains dans cambouis :c)), je suis partant.
>
> Cordialement
> Philippe
>
> -----Message d'origine-----
> De : WAPT <wapt-bounces at lists.tranquil.it> De la part de Denis CARDON
> Envoyé : jeudi 16 avril 2020 16:06
> À : wapt at lists.tranquil.it; Simon FONTENEAU <sfonteneau at tranquil.it>
> Objet : Re: [Wapt] Pourquoi entrer des identifiants au démarrage du self service
>
> Bonjour à tous,
>
>> Actuellement nous utilisons en python win32security.LogonUser pour
>> authentifier les utilisateurs et récupérer les groupes et la fonction
>> nous demande le mot de passe de l'utilisateur ... ce qui explique la
>> demande de mot de passe.
>>
>> A long terme on pourrait pourquoi pas récupérer un ticket kerberos
>> pour un accès ldap dans la session et le passer au service wapt pour
>> qu'il fasse lui même une requette vers l'ad pour vérifier
>> l'authentification et les groupes.
>>
>> Reste le problème des postes hors domaine, des mac des linux, des xp...
>> bref c'est compliquer et plus c'est compliqué, plus il y a des risque
>> de problème.
>>
>> Hubert proposait de demander l'authentification une seul fois et de
>> créer un token dans la profile windows, le token contiens le nom
>> d’utilisateur avec la liste les groupes. Et lors d'une ré
>> authentification on utilise ce token.
>>
>> Le problème de la méthode c'est que si la liste des groupes de
>> l'utilisateur change, lui le token ne change pas ...
>>
>> Bref il n'y a pas de solution vraiment simple...
> pour compléter :
>
> le serveur WAPT gère l'authentification kerberos (enregistrement automatique sécurisé des postes), donc gérer un ticket kerberos on le fait déjà dans certain cas à travers un plugin spnego nginx.
>
> Dans le cas du selfservice l'authentification se passe localement et il n'y a pas de service nginx, juste un process Python. Il faudrait donc commencer à arriver à faire gérer le spnego par ce process python... Il faudrait aussi voir quel ticket on prend, quel est le nom FQDN que l'on demande au serveur kerberos (c'est pas aussi trivial qu'on le pense avec les conf alambiqué que l'on trouve en production), est ce que l'on rajoute des SPN spécifique ou non, est ce que le serveur AD est disponible (cas où l'on est à l'extérieur sans VPN), est ce que le serveur AD existe (poste hors domaine), etC.
>
>> Pour info actuellement on travail également sur une possibilités
>> d'authentification relais:
>>
>> En gros l'authentification du selfservice pourra passer par le serveur
>> wapt et c'est le serveur wapt qui contactera directement le serveur
>> ldap. Ceci permettra d'avoir un selfservice "ldap" pour les client
>> linux, mac et également windows hors domaine.
> Le projet en cours d'authentification déléguée au serveur Wapt me donne une idée. Le logon du selfservice pourrait demandé une authentification kerberos au serveur WAPT à travers le process LSASS.exe (ça marche déjà, c'est juste qu'on les ignore car elles ne sont pas censés arriver), et fournir un token d'authentification qui pourra être passé au service qui n'aura qu'à le revalider auprès du serveur WAPT. A voir.
>
> Pour l'instant, comme Simon le dit, on travaille à étendre le concept d'authentification login/mdp selfservice aux Linux, Mac, et postes hors domaine.
>
> Bon confinement,
>
> Denis
>
>
>> Simon
>>
>>
>>
>>
>> Le 16/04/2020 à 10:07, Gaëtan SEGAT a écrit :
>>> Bonjour Vincent,
>>>
>>> actuellement c'est le comportement que nous avons au lancement du
>>> self-service :
>>>
>>> Si l'on lance en tant qu'administrateur, l'identifiant change bien.
>>>
>>> ---------------------------------------------------------------------
>>> -------------------------
>>>
>>> *Gaëtan SEGAT *
>>> Gestionnaire Parc Informatique
>>> Inserm| DRSI Toulouse
>>> CHU Purpan – BP 3048 | 31024 Toulouse cedex 3 Tél. 05 62 74 83 58
>>>
>>> <http://www.inserm.fr>
>>>
>>> Le 16/04/2020 à 10:03, Vincent CARDON a écrit :
>>>> *---> AVERTISSEMENT - WARNING *Cette bannière a été ajoutée par
>>>> l'anti-spam de la messagerie de l'Inserm. Le courrier suivant est
>>>> soupçonné d'être un phishing. Si vous n'avez pas sollicité ce
>>>> message, *ne fournissez pas votre nom d'utilisateur et mot de passe,
>>>> y compris sur une page Web.* En cas de doute ou de faux positif,
>>>> contactez votre équipe informatique régionale ou nous-même :
>>>> messagerie at inserm.fr This banner has been added by the INSERM's
>>>> anti-spam system. The following mail is a suspected phishing
>>>> message. If you have not requested it, *do not provide your username
>>>> and password, including on a Web page.* In case of doubt or false positive, ask your local IT team or contact us :
>>>> messagerie at inserm.fr Merci pour votre vigilance - Thank you for your
>>>> vigilance.
>>>>
>>>> Voici à la suite, le message suspect - The suspected mail follows :
>>>> --------------------------------------------------------------------
>>>> ----
>>>>
>>>>
>>>> Merci Gaëtan, tu as décrit le cas d'usage qui nous fait réfléchir à
>>>> activer ou non la console self-service avec le compte kerberos de
>>>> l'utilisateur connecté.
>>>>
>>>> Je pense que le comportement actuel (sans SSO kerberos) est le plus
>>>> générique.
>>>>
>>>> Peut être qu'on pourrait simplement aider l'utilisateur à ne devoir
>>>> mettre que son mot de passe, comme ça se passe souvent avec
>>>> l'ouverture d'une session Windows, c'est à dire proposer par défaut
>>>> l'identifiant de l'utilisateur en cours et le champ de mot passe
>>>> vide. Ce comportement saurait-il mieux vous convenir Christophe ?
>>>>
>>>> Bonne semaine.
>>>>
>>>> Vincent
>>>>
>>>> ----- Le 16 Avr 20, à 9:33, Gaëtan SEGAT <gaetan.segat at inserm.fr> a
>>>> écrit :
>>>>
>>>> Bonjour Christophe,
>>>>
>>>> la nouvelle identification est le comportement normal du self
>>>> service comme indiqué :
>>>>
>>>> https://www.wapt.fr/fr/doc/wapt-usage/wapt-selfservice.html?highligh
>>>> t=self%20service
>>>>
>>>> Je ne sais pas s'il est possible de ne pas le faire.
>>>>
>>>> Néanmoins c'est une bonne chose, cela permet ainsi à un
>>>> administrateur de ce connecter avec son compte et faire des
>>>> installations à la volée sur un poste (notre cas en dépannage).
>>>> En effet il est possible de paramétrer pour qu'un groupe AD voit
>>>> l'intégralité du catalogue.
>>>>
>>>> Bonne journée,
>>>>
>>>>
>>>> --------------------------------------------------------------------
>>>> --------------------------
>>>>
>>>> *Gaëtan SEGAT *
>>>> Gestionnaire Parc Informatique
>>>> Inserm| DRSI Toulouse
>>>> CHU Purpan – BP 3048 | 31024 Toulouse cedex 3
>>>> Tél. 05 62 74 83 58
>>>>
>>>> <http://www.inserm.fr>
>>>>
>>>> Le 15/04/2020 à 21:53, MILLIEN Christophe a écrit :
>>>>
>>>> Bonjour,
>>>>
>>>> Nous sommes en cours de tests pour un futur déploiement de
>>>> Wapt dans notre parc.
>>>>
>>>> La partie qui nous intéresse le plus est le self-service.
>>>>
>>>> Nous sommes dans un environnement Active-Directory et nous
>>>> avons installé un client sur une machine et elle s’est bien
>>>> retrouvé dans la console sans authentification sur le poste.
>>>>
>>>> Ce que je ne comprends pas c’est pourquoi, alors que je me
>>>> suis authentifier pour ouvrir une session, on me redemande
>>>> mon identité au démarrage du self-service ?
>>>>
>>>> Ai-je mal paramétré quelque chose ?
>>>>
>>>> Comment faire pour éviter cette nouvelle saisie et utiliser
>>>> le jeton Kerberos ?
>>>>
>>>> Bonne journée,
>>>>
>>>> Christophe
>>>>
>>>> -------------------
>>>>
>>>> *Christophe MILLIEN* - 01 69 82 31 71 (même en confinement)
>>>>
>>>> Responsable du Service Informatique et Calcul Scientifique
>>>>
>>>> I2BC - Bat 34 - 1 Avenue de la Terrasse - 91198 Gif / Yvette
>>>>
>>>>
>>>> _______________________________________________
>>>> WAPT mailing list
>>>> WAPT at lists.tranquil.it <mailto:WAPT at lists.tranquil.it>
>>>> http://lists.tranquil.it/listinfo/wapt
>>>>
>>>>
>>>> _______________________________________________
>>>> WAPT mailing list
>>>> WAPT at lists.tranquil.it
>>>> http://lists.tranquil.it/listinfo/wapt
>>>>
>>>>
>>>> --
>>>> Vincent CARDON, Président
>>>> Tranquil IT
>>>> 12 avenue Jules Verne
>>>> Bâtiment A (Alliance Libre)
>>>> 44230 Saint Sébastien sur Loire (FRANCE)
>>>> tel: +33(0)240 975 755
>>>> https://www.tranquil.it
>>>>
>>>> _______________________________________________
>>>> WAPT mailing list
>>>> WAPT at lists.tranquil.it
>>>> http://lists.tranquil.it/listinfo/wapt
>>> _______________________________________________
>>> WAPT mailing list
>>> WAPT at lists.tranquil.it
>>> http://lists.tranquil.it/listinfo/wapt
>> _______________________________________________
>> WAPT mailing list
>> WAPT at lists.tranquil.it
>> http://lists.tranquil.it/listinfo/wapt
>>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
> [Banniere Covid]
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
More information about the WAPT
mailing list