Tâche #16084
Scénario #19755: Compiler un paquet E2Guardian 3.5.1 et le tester
[suivi upstream] Filtrage différencié e2guardian ne fonctionne pas sous eole-proxy 2.5.2
Description
Config: eole-proxy +eole-wpad 2.5.2
Quand on rajoute dans l'ead un utilisateur dans un groupe de filtrage optionnel, c'est bien enregistré et c'est bien rajouté dans /var/lib/blacklists/common/dansguardian0/filtergroupslist, mais cet utilisateur subit toujours le filtrage par défaut et pas le filtrage optionnel choisi.
Demandes liées
Révisions associées
EAD e2guardian : remplacement des "reload" par des "restart" REF #16084 @ 1.5h
Revert "EAD e2guardian : remplacement des "reload" par des "restart" REF #16084 @ 1.5h"
This reverts commit 818c8562225a239f31a9033e160acde50ee3a820.
Historique
#1 Mis à jour par Fabrice Barconnière il y a presque 8 ans
- Temps estimé mis à 1.00 h
- Tâche parente mis à #16057
#2 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Restant à faire (heures) mis à 1.0
#3 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Temps estimé changé de 1.00 h à 2.00 h
- Restant à faire (heures) changé de 1.0 à 2.0
#4 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Statut changé de Nouveau à En cours
#5 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Assigné à mis à Klaas TJEBBES
#6 Mis à jour par Klaas TJEBBES il y a presque 8 ans
Sur Amon 2.5.2, le problème se pose également.
Il faudrait un "service eole-guardian restart", la fonction "reload" ne semble pas fonctionner à chaque fois, malgré que les log de e2guardian indiquent qu'un reload a bien été effectué :
root@amon:~# tail -f log/rsyslog/local/e2guardian/e2guardian0.info.log|grep -i reload 2016-05-12T15:23:22.275844+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload starting 2016-05-12T15:23:51.396499+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload completed 2016-05-12T15:25:19.524115+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload starting 2016-05-12T15:26:37.457649+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload completed
De plus le reload est plus long qu'un restart :
root@amon:~# time service eole-guardian restart * Stopping e2guardian [ OK ] * Starting e2guardian * Instance #guardian0 [ OK ] real 0m5.682s user 0m2.540s sys 0m0.088s
#7 Mis à jour par Daniel Dehennin il y a presque 8 ans
Klaas TJEBBES a écrit :
De plus le reload est plus long qu'un restart :
[...]
Probablement pour éviter de couper les connexions en cours des utilisateurs.
#8 Mis à jour par Klaas TJEBBES il y a presque 8 ans
Paquet ead refait en 2.6.
#9 Mis à jour par Jean-Marie Biansan il y a presque 8 ans
Bonjour
Je ne pense pas que le pbe de départ soit lié à l'EAD: si on met directement la bonne ligne dans /var/lib/blacklists/common/dansguardian0/filtergroupslist (et qu'on fasse ou pas un reconfigure après), le filtrage différencié ne fonctionne pas.
#10 Mis à jour par Scrum Master il y a presque 8 ans
- Statut changé de En cours à Résolu
#11 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 2.0 à 0.0
#12 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- % réalisé changé de 0 à 100
Testé avec Yo.
Diffusé sur 2.6 uniquement.
#13 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Fichier Capture d’écran_2016-06-06_11-09-48.png Voir ajouté
- Fichier Capture d’écran_2016-06-06_11-10-47.png Voir ajouté
- Statut changé de Fermé à En cours
En utilisant l'authentification NTLM, on reproduit le problème. Mais la page d'interdiction est tronquée.
Captures d'écran, Youtube a été interdit en politique par défaut mais reste autorisé en politique "1".- admin en politique par défaut essaye d'accéder à Youtube => page d'interdiction normale (login, Ip machine, adresse refusée : OK)
- admin en politique "1" essaye d'accéder à Youtube => page d'interdiction tronquée (seulement "adresse refusée" mais sans l'URL !)
#14 Mis à jour par Klaas TJEBBES il y a presque 8 ans
- Tâche parente changé de #16057 à #16214
#15 Mis à jour par Klaas TJEBBES il y a presque 8 ans
Signalement ouvert chez e2guardian :
https://github.com/e2guardian/e2guardian/issues/130
#16 Mis à jour par Klaas TJEBBES il y a presque 8 ans
Le serveur Kerberos de M.Biansan est un Windows Server 2012.
#17 Mis à jour par Joël Cuissinat il y a presque 8 ans
- Statut changé de En cours à Reporté
=> nouveau scénario : #16571
#18 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Tâche parente changé de #16214 à #16963
#19 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Statut changé de Reporté à Nouveau
#20 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Statut changé de Nouveau à En cours
#21 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Fichier e2captures.zip ajouté
Ajout de captures Wireshark au signalement effectué chez e2guardian.
https://github.com/e2guardian/e2guardian/issues/130#issuecomment-248307401
#22 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Sujet changé de Filtrage différencié e2guardian ne fonctionne pas sous eole-proxy 2.5.2 à [suivi upstream] Filtrage différencié e2guardian ne fonctionne pas sous eole-proxy 2.5.2
- Tâche parente changé de #16963 à #17170
#23 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Tâche parente changé de #17170 à #17455
#24 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Assigné à
Klaas TJEBBESsupprimé
#25 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
Dans mon mail du 06 octobre 2016 au développeur e2guardian "fredbmail@free.fr" (eole@ac-dijon.fr en copie) j'ai proposé qu'il utilise notre infrastructure pour debugger.
#26 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de En cours à Nouveau
- Tâche parente changé de #17455 à #17578
#27 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de Nouveau à En cours
#28 Mis à jour par Scrum Master il y a plus de 7 ans
- Assigné à mis à Klaas TJEBBES
- Restant à faire (heures) changé de 0.0 à 2.0
#29 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Statut changé de En cours à Nouveau
- Début
06/05/2016supprimé - % réalisé changé de 100 à 0
- Tâche parente
#17578supprimé
#30 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Tracker changé de Tâche à Proposition Scénario
- Version cible
sprint 2016 42-44 - Équipe MENSRsupprimé
#31 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Lié à Demande #16174: problème de fonctionnement e2guardian : logins + https ajouté
#32 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
Test de la nouvelle version :
https://github.com/e2guardian/e2guardian/commit/ad5f8c5fcd1ca4b1eff637954a9fc968643e0e24
https://github.com/e2guardian/e2guardian/tree/develop
Firefox, Edge, IE et Chrome : OK
#33 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
Procédure pour tester (installer la version de dev dans "/teste2g" :
apt install -y git base-files base-passwd bash coreutils dash debianutils diffutils dpkg e2fsprogs findutils grep gzip hostname ncurses-base ncurses-bin perl-base sed login tar bsdutils mount util-linux libc6-dev libc-dev gcc g++ make dpkg-dev autotools-dev debhelper dh-autoreconf dpatch libclamav-dev libpcre3-dev zlib1g-dev pkg-config libssl-dev autoconf make git clone https://github.com/e2guardian/e2guardian.git cd e2guardian git checkout develop git pull ./autogen.sh ./configure '--prefix=/teste2g' '--enable-clamd=yes' '--with-proxyuser=e2guardian' '--with-proxygroup=e2guardian' '--sysconfdir=/teste2g/etc' '--localstatedir=/teste2g/var' '--enable-icap=yes' '--enable-commandline=yes' '--enable-email=yes' '--enable-ntlm=yes' '--enable-trickledm=yes' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' 'CXXFLAGS=-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' 'LDFLAGS=-Wl,-z,relro' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CFLAGS=-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' '--enable-pcre=yes' '--enable-sslmitm=yes' make make install
service eole-guardian stop for i in /etc/guardian/guardian*; do screen -dm /teste2g/sbin/e2guardian -c $i/guardian.conf -N; done killall e2guardian
ATTENTION, éditer/patcher squid.conf (01squid.conf) pour y ajouter :
auth_param ntlm keep_alive off
#34 Mis à jour par Jean-Marc MELET il y a environ 7 ans
Je confirme que le filtrage différencié fonctionne à nouveau grâce à ce correctif (testé sous FF, IE et Chrome)
Le seuls bémol est qu'on ne peut pas consulter les logs avec cette version de dev pour suivre les connexions et l'authentification lors des tests.
Par ailleurs, comme évoqué ici: https://dev-eole.ac-dijon.fr/issues/16084#note-6, je précise qu'il faut redémarrer complètement les process e2g pour prendre en compte une modif de filtrage (j'avais déja remarqué la chose avant). Reste à demander pourquoi aux developpeurs, ou bien savoir si on est favorable à un restart systématique.
Merci pour le travail et le temps passé sur ce bug, nous espérons des retours rapides d'autres académies et attendons avec impatience l'intégration du correctif dans une prochaine mise à jour.
#35 Mis à jour par Klaas TJEBBES il y a environ 7 ans
- Lié à Scénario #19089: Packager la version 3.5 de E2Guardian ajouté
#36 Mis à jour par Jean-Marc MELET il y a environ 7 ans
Bonjour,
Du nouveau concernant cette nouvelle version? le commentaire https://dev-eole.ac-dijon.fr/issues/16571#note-12 n'est guère engageant. Pourtant en suivant la procédure décrite pour tester la version de dev tout avait l'air de fonctionner...
#37 Mis à jour par Klaas TJEBBES il y a environ 7 ans
- Tâche parente mis à #19381
#38 Mis à jour par Klaas TJEBBES il y a environ 7 ans
E2Guardian a été packagé pour 2.6, pour tester le package :
echo "deb http://test-eole.ac-dijon.fr/eole eole-2.6-experimental main" > /etc/apt/sources.list.d/experimental.list
apt update
apt install e2guardian/eole-2.6-experimental
ATTENTION, c'est experimental. Mais, une fois validé, on pourra envisager un backport sur 2.5.
#39 Mis à jour par Klaas TJEBBES il y a environ 7 ans
- Statut changé de Nouveau à En cours
- Début mis à 09/03/2017
#40 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de En cours à Nouveau
- Assigné à
Klaas TJEBBESsupprimé - Tâche parente changé de #19381 à #19755
#41 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de Nouveau à En cours
#42 Mis à jour par Scrum Master il y a environ 7 ans
- Assigné à mis à Daniel Dehennin
#43 Mis à jour par Daniel Dehennin il y a environ 7 ans
- Statut changé de En cours à Nouveau
- Assigné à
Daniel Dehenninsupprimé
#44 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Statut changé de Nouveau à Résolu
- Assigné à mis à Joël Cuissinat
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 2.0 à 0.0
Je viens de copier le paquet eole-2.6-unstable en eole-2.6.1-proposed-updates.
La version EOLE 2.6.1 contiendra bien e2guardian 3.5.1.
root@amon:~# apt-cache policy e2guardian e2guardian: Installé : 3.5.1-1 Candidat : 3.5.1-1 Table de version : *** 3.5.1-1 500 500 http://test-eole.ac-dijon.fr/eole eole-2.6.1-proposed-updates/main amd64 Packages 100 /var/lib/dpkg/status 3.2.0-4 500 500 http://test-eole.ac-dijon.fr/eole eole-2.6.1/main amd64 Packages
Cette demande étant devenu illisible, je propose de la fermer quitte à en ouvrir une autre pour le rétro-portage et/ou (ré)utiliser le scénario prévu entre-temps : #16571
#45 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de Résolu à Fermé