Ensemble Ouvert Libre Évolutif: Demandeshttps://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2011-10-03T09:18:38ZEnsemble Ouvert Libre Évolutif
Redmine conf-amonecole - Anomalie #2143 (Fermé): eole-web et eole-reverseproxy ne fonctionne pas par défa...https://dev-eole.ac-dijon.fr/issues/21432011-10-03T09:18:38ZDaniel Dehennin
<p>Origine <a class="issue tracker-1 status-5 priority-4 priority-default closed" title="Anomalie: eole-web et eole-reverseproxy ne fonctionne pas par défaut ensemble (Fermé)" href="https://dev-eole.ac-dijon.fr/issues/1988">#1988</a></p>
<p>[...]</p>
<p>Supprimer la famille « Reverse proxy » qui est fourniee par <code>eole-reverseproxy</code> dont dépend <code>conf-amon</code></p> arv - Anomalie #2131 (Fermé): Les mises à jour de la base StrongSwan ne sont vues que si on redém...https://dev-eole.ac-dijon.fr/issues/21312011-09-29T14:07:01ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<p>La base StrongSwan est regénérée à chaque application des changements (suppression et création d'un nouveau fichier ipsec.db). Sur Sphynx, StrongSwan perd donc le handler du fichier. Il faut donc vider le fichier plutôt que de le supprimer et remplir à nouveau la DB.</p> conf-scribe - Anomalie #2114 (Fermé): Pas de regle de firewall pour le tftphttps://dev-eole.ac-dijon.fr/issues/21142011-09-27T07:30:46ZLaurent Florilaurent.flori@ac-dijon.fr
<p>Le service tftp n'a pas de règles de firewall.</p> conf-scribe - Anomalie #2092 (Fermé): forcer en minuscule le partage minedu pour prestohttps://dev-eole.ac-dijon.fr/issues/20922011-09-22T13:41:51ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<p>proposer un partage spécifique pour minedu sur les Horus qui met la casse en minuscule.</p> conf-horus - Evolution #2091 (Fermé): Sauvegarde des fichiers Interbasehttps://dev-eole.ac-dijon.fr/issues/20912011-09-22T13:33:53ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
Le paquet eole-interbase devrait fournir le morceau de configuration bacula afin de sauvegarder les fichiers suivants :
<ul>
<li>/opt/interbase/isc4.gdb</li>
<li>/opt/interbase/ib_license.dat</li>
</ul> conf-scribe - Anomalie #2083 (Fermé): typo dans le dictionnaire phpMyAdminhttps://dev-eole.ac-dijon.fr/issues/20832011-09-20T18:38:28ZEmmanuel GARETTE (2)gnunux@gnunux.info
<p>"Activer phpMyAdmin (administaration des bases MySQL)"</p>
<p>=> "Activer phpMyAdmin (administration des bases MySQL)"</p> conf-scribe - Anomalie #2065 (Fermé): phpmyadmin est une interface d'administration, l'accès devr...https://dev-eole.ac-dijon.fr/issues/20652011-09-15T20:08:47ZEmmanuel GARETTE (2)gnunux@gnunux.info
<p>L'application phpmyadmin est une application d'administration, elle devrait être limité aux IPs défini dans les variables admin_eth?.</p>
<p>Attention, les IPs ne seront pas liées à une interface comme c'est prévu dans le dictionnaire.</p>
<p>Le patch sur apache-phpmyadmin.conf :</p>
<pre>
--- /root/apache-phpmyadmin.conf 2011-09-15 21:51:11.490314089 +0200
+++ /usr/share/eole/creole/distrib/apache-phpmyadmin.conf 2011-09-15 22:02:05.439541638 +0200
@@ -1,15 +1,38 @@
########################################################
#
-## Configuration Apache/PHPMyadmin pour Eole-2.2
+## Configuration Apache/PHPMyadmin
#
## Equipe Eole eole@ac-dijon.fr
#
########################################################
+%def allow_ip(%%ip_admin, %%netmask_admin)
+Allow from %%ip_admin/%%netmask_admin
+%end def
+
%if %%activer_phpmyadmin == 'oui' and %%activer_mysql == 'oui'
# activation de phpMyAdmin
Alias /myadmin /usr/share/phpmyadmin
Include /etc/phpmyadmin/apache.conf
+<Directory /usr/share/phpmyadmin>
+ Order Deny,Allow
+%for %%ip_admin in %%ip_admin_eth0
+ %%allow_ip(%%ip_admin, %%ip_admin.netmask_admin_eth0)
+%end for
+%for %%ip_admin in %%ip_admin_eth1
+ %%allow_ip(%%ip_admin, %%ip_admin.netmask_admin_eth1)
+%end for
+%for %%ip_admin in %%ip_admin_eth2
+ %%allow_ip(%%ip_admin, %%ip_admin.netmask_admin_eth2)
+%end for
+%for %%ip_admin in %%ip_admin_eth3
+ %%allow_ip(%%ip_admin, %%ip_admin.netmask_admin_eth3)
+%end for
+%for %%ip_admin in %%ip_admin_eth4
+ %%allow_ip(%%ip_admin, %%ip_admin.netmask_admin_eth4)
+%end for
+ Deny from all
+</Directory>
%else
# PHPMyadmin non actif
%end if
</pre>
<p>(Cette demande est lié à <a class="issue tracker-1 status-5 priority-4 priority-default closed" title="Anomalie: Log Apache incorrect derrière un reverse proxy (Fermé)" href="https://dev-eole.ac-dijon.fr/issues/2064">#2064</a> )</p> conf-scribe - Evolution #2023 (Fermé): Mise à jour du schéma ldap ENT [2.3]https://dev-eole.ac-dijon.fr/issues/20232011-09-02T15:20:07ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>ent.schema : ajout de l'attribut ENTEleveStructRattachId</p> conf-amon - Anomalie #2017 (Fermé): Configurations dansguardian non reportées en 2.3 !https://dev-eole.ac-dijon.fr/issues/20172011-09-02T12:29:13ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>Aussi incroyable que cela puisse paraître, les modifications réalisées pour <a class="issue tracker-1 status-5 priority-5 priority-highest closed" title="Anomalie: Problème Dansguardian avec les fichiers long à arrriver (Fermé)" href="https://dev-eole.ac-dijon.fr/issues/675">#675</a> n'ont pas été reportées en 2.3.</p> conf-amon - Evolution #2016 (Fermé): Sortir snort et prelude de conf-amon (et ne plus les pré-ins...https://dev-eole.ac-dijon.fr/issues/20162011-09-02T09:40:10ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>La présentation de la variable "snort_rules_liste" sur 2.3 est superbe, sinon ;)</p> conf-amon - Evolution #2015 (Fermé): La variable dhcrelay_interfaces devrait proposer une liste d...https://dev-eole.ac-dijon.fr/issues/20152011-09-02T09:20:57ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>Actuellement la variable (multi) "Interface des clients DHCP" est un champ texte simple avec "all" comme valeur par défaut...</p> conf-amon - Anomalie #2014 (Fermé): erreur dans le diagnose de nginxhttps://dev-eole.ac-dijon.fr/issues/20142011-09-01T19:52:49ZEmmanuel GARETTE (2)gnunux@gnunux.info
<p>La variable "revprox_domainname" est une variable multiple.</p>
<p>Le script /usr/share/eole/diagnose/module/16-reverseproxy à la ligne :</p>
<p>if [ -z $revprox_domainname ];then</p>
<p>qu'il faudrait remplacé par :</p>
<p>if [ -z "$revprox_domainname" ];then</p> conf-scribe - Anomalie #1994 (Fermé): pas de regle de firewall entre web et mysqlhttps://dev-eole.ac-dijon.fr/issues/19942011-08-25T09:45:40ZBenoit Vilabenoit.vila@ac-dijon.fr
<p>eole-web dépend de eole-mysql mais il n'y a pas de regle de firewall pour acceder du conteneur web vers le conteneu mysql</p>
<p>attention si le eole-mail est installé le problème disparait car il rajoute la regle vers mysql et qu'il est dans le même conteneur que eole-web</p>
<p>dans le template 00_web.fw il faut ajouter la ligne : <br /><pre>allow_dest(interface='eth0', container='mysql', port='3306')</pre></p> conf-scribe - Anomalie #1991 (Fermé): redirection en boucle sur eole-webhttps://dev-eole.ac-dijon.fr/issues/19912011-08-25T07:03:03ZEmmanuel GARETTE (2)gnunux@gnunux.info
<p>La valeur de web_redirection est à "/" par défaut :</p>
<pre>
<variable name='web_redirection' type='string' description='Application web par défaut (redirection)' >
<value>/</value>
</variable>
</pre>
<p>Dans le template nous avons :</p>
<pre>
%if %%is_defined('activer_envole') and %%activer_envole == 'oui'
RewriteRule ^/$ %%alias_envole [R=permanent]
%else
RewriteRule ^/$ %%web_redirection [R=permanent]
%end if
</pre>
<p>Ce qui signifie que la ligne sera :<br />RewriteRule ^/$ / [R=permanent]</p>
<p>(si on demande / on renvoi vers ... /).</p>
<p>Il faudrait faire un test pour éviter la redirection en boucle :</p>
<pre>
-- Vhost.conf.old 2011-08-25 08:49:32.533349685 +0200
+++ Vhost.conf 2011-08-25 08:54:58.433022085 +0200
@@ -7,8 +7,12 @@
ErrorLog /var/log/apache2/error.log
RewriteEngine On
%if %%is_defined('activer_envole') and %%activer_envole == 'oui'
+ %if %%alias_envole != '/'
RewriteRule ^/$ %%alias_envole [R=permanent]
+ %end if
%else
+ %if %%web_redirection != '/'
RewriteRule ^/$ %%web_redirection [R=permanent]
+ %end if
%end if
</VirtualHost>
--- Vhost-ssl.conf.old 2011-08-25 08:50:23.000750923 +0200
+++ Vhost-ssl.conf 2011-08-25 08:53:46.867051833 +0200
@@ -12,9 +12,13 @@
ServerName %%nom_machine
RewriteEngine On
%if %%is_defined('activer_envole') and %%activer_envole == 'oui'
+ %if %%alias_envole != '/'
RewriteRule ^/$ %%alias_envole [R=permanent]
+ %end if
%else
+ %if %%web_redirection != '/'
RewriteRule ^/$ %%web_redirection [R=permanent]
+ %end if
%end if
# <Location />
# Order Allow,Deny
</pre>
<p>De plus, je ne comprends pas bien pourquoi le template est si compliqué. alias_envole et web_redirection sont les mêmes variables. Pourquoi ne pas jouer avec les redefines ?</p> conf-amon - Anomalie #1989 (Fermé): eole-reverseproxy démarre wpad même si le proxy n'est pas sur...https://dev-eole.ac-dijon.fr/issues/19892011-08-24T21:02:42ZEmmanuel GARETTE (2)gnunux@gnunux.info
<p>Si le proxy n'est pas sur la machine il ne faut pas configurer wpad (ou à la rigueur le configurer correctement ...).</p>
<p>La deuxième partie du patch n'a rien a voir avec ca. Ca concerne en fait <a class="issue tracker-1 status-5 priority-4 priority-default closed" title="Anomalie: eole-web et eole-reverseproxy ne fonctionne pas par défaut ensemble (Fermé)" href="https://dev-eole.ac-dijon.fr/issues/1988">#1988</a>.</p>
<pre>
--- nginx.default.old 2011-08-24 17:36:38.832462158 +0200
+++ nginx.default 2011-08-24 22:57:45.158252508 +0200
@@ -15,6 +15,7 @@
proxy_buffers 6 32k;
proxy_busy_buffers_size 32k;
+%if %%is_defined('container_ip_proxy')
# erreur pour le proxy
server {
%if %%mode_conteneur_actif != 'non'
@@ -92,6 +93,7 @@
deny all;
}
}
+%end if
%set %%dom_dict={}
%if %%revprox_activate_http == 'oui'
@@ -100,7 +102,7 @@
%end for
%end if % if %%revprox_activate_http == 'oui'
-%if %%is_defined('revprox_container_domain') and %%is_defined('container_ip_web') and %%revprox_container_domain != ''
+%if %%is_defined('container_ip_web') and %%revprox_container_domain != ''
%%dom_dict.setdefault(%%revprox_container_domain, []).append(('/', 'redirige vers https', 'oui', 'https://'+%%container_ip_web))
%end if
</pre> conf-scribe - Anomalie #1987 (Fermé): eole-web sans annuaire et avec reverseproxyhttps://dev-eole.ac-dijon.fr/issues/19872011-08-24T19:57:49ZEmmanuel GARETTE (2)gnunux@gnunux.info
<p>Les règles de firewall sont spécifiques à Amon sur EOLE 2.3.</p>
<p>Il faut obligatoirement avoir configurer l'annuaire et ne fonctionne pas avec le reverseproxy (sauf si on utilise Era).</p>
<pre>
--- 00_web.fw.old 2011-08-24 17:16:35.155966814 +0200
+++ 00_web.fw 2011-08-24 19:45:43.005991404 +0200
@@ -1,7 +1,11 @@
%if %%activer_apache == 'oui'
+%if not %%is_defined('activer_revprox')
allow_src(interface='eth0', ip="0/0", port='80')
allow_src(interface='eth0', ip="0/0", port='443')
+%end if
+%if %%is_defined('container_ip_annuaire')
allow_dest(interface='eth0', container='annuaire', port='389')
+%end if
%if %%activer_sso == 'local'
allow_dest(ip='%%adresse_ip_eth0', port='%%eolesso_port')
%elif %%activer_sso == 'distant'
</pre> conf-scribe - Anomalie #1985 (Fermé): Les configuration rsyslog des conteneurs ne sont pas re-cha...https://dev-eole.ac-dijon.fr/issues/19852011-08-24T14:11:59ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>Du coup certaines remontées de logs ne sont effectives qu'après redémarrage du serveur !</p> conf-amon - Anomalie #1983 (Fermé): hidden_if_in pour kerberos invalide dans 23_proxy.xmlhttps://dev-eole.ac-dijon.fr/issues/19832011-08-23T08:30:26ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>Il manque la ligne <code><param>oui</param></code> dans la condition suivante !<br /><pre>
<condition name='hidden_if_not_in' source='test_activer_kerberos'>
<target type='servicelist'>kerberos</target>
<target type='filelist'>kerberos</target>
</condition>
</pre></p>
<p>Nb : le test serait plus compréhensible avec "hidden_if_in" et "non" ;)</p> conf-scribe - Evolution #1981 (Fermé): piwik et eole-posh devraient être pré-installés sur 2.3https://dev-eole.ac-dijon.fr/issues/19812011-08-22T15:12:42ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<p>Nb : leurs dépendances doivent l'être également si on installe un module Scribe "depuis le CD".</p> conf-amonecole - Evolution #1964 (Fermé): Activer le proxy ESU devrait être à ouihttps://dev-eole.ac-dijon.fr/issues/19642011-08-16T12:25:14ZEmmanuel GARETTE
<p>Comme AmonEcole fait proxy, il faudrait proposer par défaut de configurer le proxy dans ESU.</p> conf-amon - Anomalie #1937 (Fermé): ipsec est lancé bien qu'il soit désactivéhttps://dev-eole.ac-dijon.fr/issues/19372011-07-20T15:11:22ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<pre>
*** Réseau virtuel privé
. RVP => Désactivé
</pre>
<pre>
root@amonecole:/usr/lib/pymodules/python2.6/scribe# ps aux | grep ipsec
root 1579 0.0 0.0 12688 212 ? Ss 16:14 0:00 /usr/lib/ipsec/starter
root 1581 0.0 0.0 145156 440 ? Ssl 16:14 0:00 /usr/lib/ipsec/pluto --nofork --uniqueids
root 1585 0.0 0.0 286904 440 ? Ssl 16:14 0:00 /usr/lib/ipsec/charon --use-syslog
</pre>
<p>Visiblement ça le fait au démarrage du serveur à cause de la présence du fichier : <code>/etc/rc3.d/S20ipsec</code></p> Amon - Evolution #1902 (Fermé): Permettre aux réseaux internes derrières une GW d'utiliser le VPNhttps://dev-eole.ac-dijon.fr/issues/19022011-06-30T13:32:03ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<p>A la lecture de la doc ARV pour Sphynx 2.3, une petite question me viens à l'esprit. Est-ce-que ces nouveaux réseaux (les réseaux derrières le routeur peda) pourront facilement être ajouter dans les réseaux de l’établissement de l'interface ARV (pourrons-nous utiliser les variables multivalués route_adresse et route_netmask dans l'onglet reseau-avance ). Jusqu'à présent avec les sphynx 2.2 nous ajoutions 3 tunnels en 172.x.x.x/22 vers les réseaux de la RFC manuellement après l'initialisation de l'amon sur les sphynx.</p>
<p>Si ce n'est pas le cas je souhaite ajouter la fonctionnalité à cette demande.</p>
<p>Cordialement,</p> arv - Evolution #1520 (Fermé): Pouvoir créer des modèles de lien etablissement - etablissementhttps://dev-eole.ac-dijon.fr/issues/15202011-03-04T14:01:08ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<p>Ajout d'une nouvelle fonctionnalité pour pouvoir créer des modèles de lien établissement vers établissement et donc des tunnels entre amon.</p> arv - Anomalie #1061 (Fermé): Fichier de loghttps://dev-eole.ac-dijon.fr/issues/10612010-10-04T14:33:32ZEmmanuel GARETTE
<p>il faudrait faire un fichier de log pour ARV (avec les éventuels tracebacks)</p> conf-scribe - Evolution #116 (Fermé): Activation automatique du cache apachehttps://dev-eole.ac-dijon.fr/issues/1162010-03-08T14:06:49ZGérald Schwartzmann
<p>gen_config devrait permettre d'activer ou non la gestion du cache du serveur apache</p>