Accès au Terminal IRIS sur Windows sans saisir de user/mot de passe

Question

Question

Jean-Charles Cano · Oct 26, 2023

#Authentication #Question clé #Terminal #InterSystems IRIS

Bonjour à tous,

je souhaite pouvoir lancer le terminal IRIS sans avoir à saisir de nom d'utilisateur ni de mot de passe.

Pour bien comprendre :

IRIS est installé directement sur une machine Windows
Lorsque j'utilise mon compte de domaine en me connectant en RDP lorsque je lance le terminal il s'exécute sans me demander de log de connexion.
- Je sais que cela fonctionne car le compte est aussi créé dans IRIS avec le même Nom
Un utilisateur Windows local a été créé, c'est avec ce compte que je veux ouvrir le terminal.

Le compte Local s'appelle ssh.gitlab, j'ai donc créé le même utilisateur sur IRIS avec le rôle %ALL.

Cependant, lorsque je lance le terminal, peut importe la manière, il me demande toujours de saisir les informations de connexion.

Auriez-vous une idée ?

Merci par avance.

Version du produit: IRIS 2022.1

$ZV: IRIS for Windows (x86-64) 2022.1 (Build 209U) Tue May 31 2022 12:16:40 EDT

Discussion (20)2

Connectez-vous ou inscrivez-vous pour continuer

Lorenzo Scalese · Oct 31, 2023

Entre-temps, j'ai trouvé une meilleure solution, activez l'authentification OS level :

ensuite dans le "%Service.Console":

Lorsque je fais cela sur mon installation irissession instance_name ne nécessite plus de mot de passe et la session est démarrée avec le compte windows actuellement connecté. Cela implique toutefois logiquement de créer un utilisateur IRIS avec le même nom que le compte de connection Windows utilisé. Dans mon cas, ce compte avait déjà été créé.

en faisant:

Write $Username

Vous pourrez vérifier quel est le compte qui a ouvert la session.
Si cette solution peut fonctionner dans votre environnement, c'est probablement la meilleure et plus sécurisée.

1 0

score 0 · Answer 1 · 2023-10-26T05:28:19-04:00

Bonjour,

Pour activer la connexion sans mot de passe à partir d'un compte OS de la machine, il faut configurer le service "%Service_Terminal" comme ceci :

Ensuite "%Service_Terminal" :

Pour finir s'assurer que "Operating system" est activé

score 0 · Answer 2 · 2023-10-26T05:41:49-04:00

Jean-Charles Cano · Oct 26, 2023

Bonjour @Guillaume Rongier,

Merci pour ta réponse, cependant je n'ai pas ce service dans la liste :

0 0

score 0 · Answer 3 · 2023-10-26T08:27:24-04:00

Guillaume Rongier · Oct 26, 2023

yes, sur windows c'est "%Service_console"

https://docs.intersystems.com/iris20232/csp/docbook/DocBook.UI.Page.cls?...

0 0

score 0 · Answer 4 · 2023-10-26T09:54:03-04:00

Jean-Charles Cano · Oct 26, 2023

oui j'ai pu voir entre temps, mais je n'ai pas d'option pour le compte local windows...

0 0

score 0 · Answer 5 · 2023-10-30T13:28:17-04:00

Bonjour @Jean-Charles Cano ,

Dans le cadre de script CI\CD il m'est déjà arrivé d'avoir besoin de cela.

Dans mon cas, c'était un système fermé donc j'ai pu simplement dans le service "%Service_Console" coché uniquement "Non authentifié".

Une fois que ce service est configuré avec "No authentifié", la commande

irissession <instance_name>

ouvrira une session avec l'utilisateur "UnknownUser". Il faut donc que cet utilisateur soit activé, vous pouvez aussi éventuellement le paramétré pour qu'il se positionne automatiquement sur un namespace. Pour configurer l'utilisateur depuis le portail d'administration allez dans "Administration système -> Sécurité -> Utilisateurs".

Dans le cas ou cette solution ne serait pas envisageable pour des raisons de sécurités (ce qui serait très compréhensible), je peux essayer de creuser un peu plus la question. Sur un serveur Linux, on peut aisément mettre le login\password dans le buffer pour que le système effectue la lecture, mais sur Windows, je pense que c'est plus compliqué.

score 0 · Answer 6 · 2023-10-31T05:24:53-04:00

Bonjour @Lorenzo Scalese

Merci pour cette approche.

L'utilisateur est déjà activé, cependant, aucune permission ne lui est accordé, quelle permission doit-on lui donner pour qu'il puisse exécuter une routine depuis un terminal IRIS ?

Cordialement

score 0 · Answer 7 · 2023-10-31T06:07:12-04:00

Bonjour @Cyril Grosjean ,

Les droits peuvent être accordés depuis le portail admin "Administration système -> Sécurité -> Utilisateurs". Toutefois vous devriez pouvoir augmenter les droits par programmation avec la variable spécial $Roles

par exemple:

Set $Roles = "%ALL"

Donne tous les drois.

score 0 · Answer 8 · 2023-10-31T06:37:09-04:00

Malheureusement avec les modifications apportées, je suis toujours contraint à devoir entrer un nom d'utilisateur et un mot de passe (ne pas tenir compte de la saisie, ce ne sont pas les bons identifiants utilisés)

EDIT: Je viens de remarquer qu'en faisant 2 fois entrée sans mettre un user et un password, j'étais bien dans le terminal iris, mais j'ai toujours cette demande d'input que je dois bypass sur la CI/CD sur une connexion ssh sur un serveur windows

score 0 · Answer 9 · 2023-10-31T07:43:02-04:00

Re @Cyril Grosjean , @Jean-Charles Cano

J'ai une autre approche à vous proposer, mais ça nécessite que le login\password soit dans un fichier. (Laissez "Mot de passe" coché dans le service "%Service.console" cette fois-ci).

Il est nécessaire que ce fichier soit encodé avec LF donc Unix Style et pas CR LF comme c'est le cas par défaut sous windows. Si vous utilisez Notepad++ suffit de cliquer sur "Edit -> EOL Conversion -> Unix (LF)".

Ex:

_system
SYS
Write "Hello !"
halt

La première et la deuxième ligne doivent être respectivement le login et password.

vous pouvez ensuite faire :

irissession instance_name < input.txt

J'insiste sur le fait que le fichier input.txt doit être encodé avec le caractère de fin de ligne LF et non CR LF sinon ça ne fonctionne pas.

Est-ce que cette nouvelle approche peut vous aider ?

score 0 · Answer 10 · 2023-10-31T08:12:25-04:00

Je viens d'essayer, ça fonctionne cependant j'ai un petit soucis :

Mon fichier inputs.txt contient ceci:



Write "HI!"
halt

A savoir donc 2 lignes vides et les instructions.

Je n'ai pas enlevé l'accès en non authentifié pour la console afin de ne pas avoir à rentrer d'identifiants dans un fichier brut car cela ne sera pas toléré par l'entreprise.

Cependant, j'ai un problème sur l'output qui a l'air de faire n'importe quoi :

Dans mon script compile.bat je n'ai rien de plus que la ligne irissession IRIS -U TEST < inputs.txt. Cela me force donc à forcer l'arrêt pour éviter que ma console crash (et de la redémarrer car le prompt crash, ça ressemble fortement à un core dump)

Faut-il que ce script soit aussi encodé LF et non CRLF ? Est-ce qu'il manque une instruction pour éviter ce problème ?

score 0 · Answer 11 · 2023-10-31T08:28:54-04:00

Re @Cyril Grosjean ,

J'ai constaté la même chose lorsque je ne termine pas le fichier par un LF.

Essayez avec un LF juste après la commande halt, cela devrait résoudre le problème.

score 0 · Answer 12 · 2023-10-31T09:11:35-04:00

Un simple saut à la ligne a réglé mon souci, le script marche mais je suis confronté à un autre souci:

Le script n'est pas exécuté dans le job automatique sur Gitlab. Il y a un scp avant qui copie les fichiers contenus dans gitlab vers le serveur, puis la connexion ssh sur le screen.

J'ai bien vérifié sur le serveur si les fichiers étaient compilés, mais ils ne le sont pas. J'ai mis des pauses dans le script pour être sûr qu'il ne s'agit pas d'un problème de temps mais ce n'est pas le cas.

score 1 · Answer 13 · 2023-10-31T09:21:43-04:00

Parfait ! Je suis connecté sans avoir à rentrer un username et un password au terminal, j'ai donc essayé de lancer la pipeline avec la commande runw pour avoir le script comme avant et tout fonctionne, la compilation s'est bien passée !

Merci beaucoup !

score 0 · Answer 14 · 2023-10-31T09:53:31-04:00

Super!

Finalement laquelle des solutions à fonctionner ? Celle avec "Allow O/S authentication" et "%Service.Console" avec "Systeme d'exploitation" + "Cache des droits Kerberos" ?

Merci.

score 1 · Answer 15 · 2023-10-31T10:45:13-04:00

Oui celle avec "Allow O/S authentication" et en cochant dans "%Service.Console" la case "Système d'exploitation".

Je n'ai pas activé les droits Kerberos.

score 0 · Answer 16 · 2023-10-31T13:20:11-04:00

Lorenzo Scalese · Oct 31, 2023

Merci pour la précision :-)

0 0

score 1 · Answer 17 · 2023-11-02T04:48:15-04:00

Bonjour à vous deux,
Et un grand merci @Lorenzo Scalese pour ton aide.

J'était en maladie donc pas possible pour moi de suivre merci @Cyril Grosjean d'avoir repris le sujet. Nous allons pouvoir avancer !

score 0 · Answer 18 · 2023-11-02T12:12:54-04:00

Lorenzo Scalese · Nov 2, 2023

Avec plaisir, c'était un sujet intéressant. Il pourra peut être aider d'autres visiteurs du community FR.

0 0

score 0 · Answer 19 · 2023-11-06T06:37:47-05:00

Developer Commu... · Nov 6, 2023

💡 Cette question est considérée comme une question clé. Plus de détails ici.

0 0