Tâche #13382: Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients - eole-wpad - Ensemble Ouvert Libre Évolutif

Tâche #13382

Scénario #13736: Gestion des sites déclarés en exception d'authentification avec cNTLM

Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients

Added by Fabrice Barconnière almost 8 years ago. Updated over 7 years ago.

Status:

Fermé

Priority:

Normal

Assigned To:

Emmanuel GARETTE

Target version:

Distribution EOLE - sprint 2016 01-03 - Equipe MENESR

Start date:

01/05/2016

Due date:

% Done:

100%

Estimated time:

3.00 h

Spent time:

3.50 h

Remaining (hours):

0.0

Description

En utilisant cNTLM il n’est pas possible d’accéder aux services HTTP de la DMZ depuis un poste admin ou péda.

Test avec 4 machines :

Un poste etb1.pcprofs-7 intégré au domaine utilisant le proxy 10.1.2.1:3128
Un poste etb1.pcprofs-xubuntu non intégré au domaine utilisant la détection de proxy automatique (cNTLM sur 10.1.2.1:3127)
Un poste etb1.pcadmin-7 intégré au domaine utilisant le proxy 10.1.1.1:3128
Un poste etb1.pcadmin-xubuntu non intégré au domaine utilisant la détection de proxy automatique (cNTLM sur 10.1.1.1:3127)

Tableau récapitulatif des tests :

	etb1.pcprofs-7	etb1.pcprofs-xubuntu	etb1.pcadmin-7	etb1.pcadmin-xubuntu
https://etb1.ac-test.fr:4203	✓	✓	✓	✓
https://192.168.0.31:4203	✓	✓	✓	✓
https://scribe.etb1.lan:4200	✓		✓
https://10.1.3.5:4200	✓		✓

Associated revisions

Revision 36239f09 (diff)
Added by Emmanuel GARETTE over 7 years ago

ne pas passer par cNTLM pour les réseaux locaux (ref #13382 @2h)

Revision 547c52bb (diff)
Added by Emmanuel GARETTE over 7 years ago

ne pas passer par cNTLM si l'authentification n'est pas activée sur l'interface (ref #13382 @1h)

Revision 30040b23 (diff)
Added by Emmanuel GARETTE over 7 years ago

cache les variables activer_cntlm_eth si squid_auth_eth n'est pas activé sur l'interface (ref #13382)

History

#1 Updated by Scrum Master almost 8 years ago

Parent task changed from #13367 to #13401

#2 Updated by Daniel Dehennin almost 8 years ago

Le problème ne se présente qu’avec le proxy cNTLM.

Voilà les seuls logs disponibles en essayant de se connecter à l’interface de sympa.

==> cntlm.debug.log <==
2015-10-08T10:19:29.199769+02:00 amon.etb1.lan cntlm[27049]: message repeated 2 times: [ 10.1.2.51 GET http://scribe.etb1.lan:8888/wws2]

==> e2guardian0.err.log <==
2015-10-08T10:19:29.527353+02:00 amon.etb1.lan e2guardian0[1369]: NTLM - step 2 was not part of an auth handshake! (HTTP/1.1 200 OK#015)
2015-10-08T10:19:29.528535+02:00 amon.etb1.lan e2guardian0[1369]: Auth plugin returned error code: -1

#3 Updated by Daniel Dehennin almost 8 years ago

Subject changed from Correction SCRIBE-T03-007 2.5.1b2 to Impossible de se connecter à sympa à travers le proxy cNTLM (SCRIBE-T03-007 2.5.1b2)

#4 Updated by Daniel Dehennin almost 8 years ago

Parent task deleted (~~#13401~~)

#5 Updated by Daniel Dehennin almost 8 years ago

Tracker changed from Tâche to Scénario
Subject changed from Impossible de se connecter à sympa à travers le proxy cNTLM (SCRIBE-T03-007 2.5.1b2) to Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients
Description updated (diff)
Target version deleted (~~Sprint 2015 39-41 - Équipe MENESR~~)
Start date deleted (~~10/05/2015~~)

Il apparaît que le réseau DMZ sur l’interface eth3 est exclu de l’authentification squid (eole-proxy:source:tmpl/common-squid1.conf@fdd03d2#L736)

root@amon:~# rgrep -F 'dst 10.1.3.0' /etc/squid3/
/etc/squid3/common-squid1.conf:acl reseaueth3 dst 10.1.3.0/24
root@amon:~# rgrep -F 'reseaueth3' /etc/squid3/
/etc/squid3/common-squid1.conf:acl reseaueth3 dst 10.1.3.0/24
/etc/squid3/common-squid1.conf:http_access allow reseaueth3

Comme tous les autres réseaux gérés par l’amon.

#6 Updated by Daniel Dehennin almost 8 years ago

Estimated time deleted (~~1.00 h~~)

#7 Updated by Emmanuel GARETTE almost 8 years ago

Tracker changed from Scénario to Tâche
Estimated time set to 3.00 h
Parent task set to #13736

#8 Updated by Emmanuel GARETTE over 7 years ago

Status changed from Nouveau to En cours
Assigned To set to Emmanuel GARETTE
Start date set to 01/05/2016

#9 Updated by Emmanuel GARETTE over 7 years ago

De plus, l'authentification peut être géré que pour une interface (et pas la 2eme).

#10 Updated by Emmanuel GARETTE over 7 years ago

% Done changed from 0 to 100
Remaining (hours) changed from 1.0 to 0.25

#11 Updated by Scrum Master over 7 years ago

Status changed from En cours to Résolu

#12 Updated by Fabrice Barconnière over 7 years ago

Remaining (hours) changed from 0.25 to 0.0

Test sur poste admin hors domaine :

Avec wpad : OK
En forçant le proxy cNTLM : NOK (on le sait)
Avec wpad en désactivant l'authentification Squid sur eth1 : OK, on passe bien par 3128 et la variable et cachée dans gen_config

#13 Updated by Scrum Master over 7 years ago

Status changed from Résolu to Fermé

Also available in: Atom PDF

Project

General

Profile

Distribution EOLE » Services » eole-reverseproxy » eole-wpad

Issues

Custom queries