Tâche #12162
Distribution EOLE - Scénario #12015: Assistance aux utilisateurs (26-28)
Bug proxy-pere Amon 2.4.0 et 2.4.1
Description
Bonjour,
Suite aux contacts sur IRC avec Emmanuel, nous avons remonté un bug lié au proxy squid. Les appels à un proxy-père ne fonctionnent pas correctement.
Nous avions fait les mêmes conf sur 2.3 et cela fonctionne toujours très bien. Nous avons reporté ces mêmes conf sur 2.4.0 et 2.4.1 et nous constatons le problème.
Nous souhaitons que les accès vers des domaines comme "in.ac-creteil.fr | in.orion.education.fr | in.ac-versailles.fr | ader.gouv.fr" passe par un proxy-pere: 192.168.74.130:8080 . Ce proxy-pere est dans notre intranet, en zone Agriates. Notre infra en centrale impose que, pour les eple, les accès aux ressources situées dans Racine passent par ce proxy situé en Agriates.
Dans un premier temps, en appelant une application dans un domaine in.ac-creteil.fr, nous pouvons nous authentifier. Les logs sur le proxy-pere montre que nous passons bien par lui.
Suite à l'authentification, nous avons une page blanche sur l'application et ça mouline. Dans les logs squid du proxy-père, il n'y a plus rien. Dans les logs squid du serveur Amon 2.4.0 ou 2.4.1, il y a une erreur 504 (gateway timout).
En ligne de commande depuis le amon, nous constatons la même chose:
1- links -http-proxy "adresse_ip_eth1_amon:3128" http://<NOTRE_SITE.IN.AC-CRETEIL.FR> -> on s'authentifie puis ça mouline
Ou comme l'a décrit Emmanuel:
navigateur web <=> dansguardian <=> squid <=> proxy père <=> serveur distant: ca ne fonctionne plus.
2 - links -http-proxy "<NOTRE_PROXY_PERE_DIRECTEMENT:8080" http://<NOTRE_SITE.IN.AC-CRETEIL.FR> -> ça fonctionne très bien tout de suite. Donc, notre proxy-père ne semble pas en cause et d'ailleurs, il continue à fonctionner correctement avec les proxy-enfants 2.3 toujours en production.
Afin de dépanner nos eple en 2.4.0 ou 2.4.1, nous avons autorisé, en modifiant les regles sur notre pare-feu Fortinet, les subnets admin de nos eple à accéder directement aux ressources en zone racine sans passer par le proxy-pere en Agriates.
Ou comme l'a décrit Emmanuel: navigateur web <=> dansguardian <=> squid <=> serveur distant: Ca fonctionne trsè bien, mais ce n'est pas adéquat.
En pièce jointe, vous trouverez un zephir.eol de 2.4.1
Demandes liées
Historique
#1 Mis à jour par philippe ferreira il y a presque 9 ans
Une erreur au lancement de squid3:
root@a772226b:~# /etc/init.d/squid3 restart
* Restarting Squid HTTP Proxy 3.x squid3 * Waiting... * ... * ... * ... * ... * ... * ... [ OK ]
2015/06/23 15:49:14| strtokFile: .in.ac-creteil.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom0 dstdomain ".in.ac-creteil.fr"
2015/06/23 15:49:14| strtokFile: .in.orion.education.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom1 dstdomain ".in.orion.education.fr"
2015/06/23 15:49:14| strtokFile: .in.ac-versailles.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom2 dstdomain ".in.ac-versailles.fr"
2015/06/23 15:49:14| strtokFile: .ader.gouv.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom3 dstdomain ".ader.gouv.fr"
[ OK ]
Merci et si vous le souhaitez vous pouurrez avoir accès à nos amons.
Cordialement.
#2 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Emmanuel GARETTE
- Version cible mis à Sprint_2015_26-28 - Équipe MENESR
- % réalisé changé de 0 à 40
- Temps estimé mis à 2.00 h
- Tâche parente mis à #12015
#3 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Projet changé de Amon à eole-proxy
- Restant à faire (heures) mis à 2.0
#4 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
Le problème vient de ce commit : 3458b28d7c7ca8fddea5c2a7c150636543de58fa .
L'utilisation des "quotes" dans les ACL sert a désigner un fichier. Hors si l'utilisateur met un nom de domaine, le fichier correspondant n'existe pas.
Il faut revenir partiellement sur ce commit.
#5 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- % réalisé changé de 40 à 100
Voir le scénario lié pour la résolution.
#6 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Statut changé de En cours à Fermé
- Restant à faire (heures) changé de 2.0 à 0.0