Project

General

Profile

Tâche #12162

Distribution EOLE - Scénario #12015: Assistance aux utilisateurs (26-28)

Bug proxy-pere Amon 2.4.0 et 2.4.1

Added by philippe ferreira almost 6 years ago. Updated almost 6 years ago.

Status:
Fermé
Priority:
Haut
Assigned To:
Start date:
06/23/2015
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Bonjour,

Suite aux contacts sur IRC avec Emmanuel, nous avons remonté un bug lié au proxy squid. Les appels à un proxy-père ne fonctionnent pas correctement.
Nous avions fait les mêmes conf sur 2.3 et cela fonctionne toujours très bien. Nous avons reporté ces mêmes conf sur 2.4.0 et 2.4.1 et nous constatons le problème.

Nous souhaitons que les accès vers des domaines comme "in.ac-creteil.fr | in.orion.education.fr | in.ac-versailles.fr | ader.gouv.fr" passe par un proxy-pere: 192.168.74.130:8080 . Ce proxy-pere est dans notre intranet, en zone Agriates. Notre infra en centrale impose que, pour les eple, les accès aux ressources situées dans Racine passent par ce proxy situé en Agriates.

Dans un premier temps, en appelant une application dans un domaine in.ac-creteil.fr, nous pouvons nous authentifier. Les logs sur le proxy-pere montre que nous passons bien par lui.
Suite à l'authentification, nous avons une page blanche sur l'application et ça mouline. Dans les logs squid du proxy-père, il n'y a plus rien. Dans les logs squid du serveur Amon 2.4.0 ou 2.4.1, il y a une erreur 504 (gateway timout).

En ligne de commande depuis le amon, nous constatons la même chose:
1- links -http-proxy "adresse_ip_eth1_amon:3128" http://<NOTRE_SITE.IN.AC-CRETEIL.FR> -> on s'authentifie puis ça mouline
Ou comme l'a décrit Emmanuel:
navigateur web <=> dansguardian <=> squid <=> proxy père <=> serveur distant: ca ne fonctionne plus.

2 - links -http-proxy "<NOTRE_PROXY_PERE_DIRECTEMENT:8080" http://&lt;NOTRE_SITE.IN.AC-CRETEIL.FR> -> ça fonctionne très bien tout de suite. Donc, notre proxy-père ne semble pas en cause et d'ailleurs, il continue à fonctionner correctement avec les proxy-enfants 2.3 toujours en production.

Afin de dépanner nos eple en 2.4.0 ou 2.4.1, nous avons autorisé, en modifiant les regles sur notre pare-feu Fortinet, les subnets admin de nos eple à accéder directement aux ressources en zone racine sans passer par le proxy-pere en Agriates.
Ou comme l'a décrit Emmanuel: navigateur web <=> dansguardian <=> squid <=> serveur distant: Ca fonctionne trsè bien, mais ce n'est pas adéquat.

En pièce jointe, vous trouverez un zephir.eol de 2.4.1

zephir_config_754.eol - zephir.eol_ 2.41 (7.18 KB) philippe ferreira, 06/23/2015 03:57 PM


Related issues

Copied to eole-proxy - Scénario #12171: Bug proxy-pere Amon 2.4.0 et 2.4.1 Terminé (Sprint) 06/24/2015 07/10/2015

History

#1 Updated by philippe ferreira almost 6 years ago

Une erreur au lancement de squid3:
root@a772226b:~# /etc/init.d/squid3 restart * Restarting Squid HTTP Proxy 3.x squid3 * Waiting... * ... * ... * ... * ... * ... * ... [ OK ]
2015/06/23 15:49:14| strtokFile: .in.ac-creteil.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom0 dstdomain ".in.ac-creteil.fr"
2015/06/23 15:49:14| strtokFile: .in.orion.education.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom1 dstdomain ".in.orion.education.fr"
2015/06/23 15:49:14| strtokFile: .in.ac-versailles.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom2 dstdomain ".in.ac-versailles.fr"
2015/06/23 15:49:14| strtokFile: .ader.gouv.fr not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom3 dstdomain ".ader.gouv.fr"
[ OK ]

Merci et si vous le souhaitez vous pouurrez avoir accès à nos amons.
Cordialement.

#2 Updated by Emmanuel GARETTE almost 6 years ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Emmanuel GARETTE
  • Target version set to Sprint_2015_26-28 - Équipe MENESR
  • % Done changed from 0 to 40
  • Estimated time set to 2.00 h
  • Parent task set to #12015

#3 Updated by Emmanuel GARETTE almost 6 years ago

  • Project changed from Amon to eole-proxy
  • Remaining (hours) set to 2.0

#4 Updated by Emmanuel GARETTE almost 6 years ago

Le problème vient de ce commit : 3458b28d7c7ca8fddea5c2a7c150636543de58fa .

L'utilisation des "quotes" dans les ACL sert a désigner un fichier. Hors si l'utilisateur met un nom de domaine, le fichier correspondant n'existe pas.

Il faut revenir partiellement sur ce commit.

#5 Updated by Emmanuel GARETTE almost 6 years ago

  • % Done changed from 40 to 100

Voir le scénario lié pour la résolution.

#6 Updated by Emmanuel GARETTE almost 6 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 2.0 to 0.0

Also available in: Atom PDF