Projet

Général

Profil

Tâche #13382

Scénario #13736: Gestion des sites déclarés en exception d'authentification avec cNTLM

Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients

Ajouté par Fabrice Barconnière il y a plus de 8 ans. Mis à jour il y a environ 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
05/01/2016
Echéance:
% réalisé:

100%

Temps estimé:
3.00 h
Temps passé:
Restant à faire (heures):
0.0

Description

En utilisant cNTLM il n’est pas possible d’accéder aux services HTTP de la DMZ depuis un poste admin ou péda.

Test avec 4 machines :

  • Un poste etb1.pcprofs-7 intégré au domaine utilisant le proxy 10.1.2.1:3128
  • Un poste etb1.pcprofs-xubuntu non intégré au domaine utilisant la détection de proxy automatique (cNTLM sur 10.1.2.1:3127)
  • Un poste etb1.pcadmin-7 intégré au domaine utilisant le proxy 10.1.1.1:3128
  • Un poste etb1.pcadmin-xubuntu non intégré au domaine utilisant la détection de proxy automatique (cNTLM sur 10.1.1.1:3127)

Tableau récapitulatif des tests :

etb1.pcprofs-7 etb1.pcprofs-xubuntu etb1.pcadmin-7 etb1.pcadmin-xubuntu
https://etb1.ac-test.fr:4203
https://192.168.0.31:4203
https://scribe.etb1.lan:4200
https://10.1.3.5:4200

Révisions associées

Révision 36239f09 (diff)
Ajouté par Emmanuel GARETTE il y a environ 8 ans

ne pas passer par cNTLM pour les réseaux locaux (ref #13382 @2h)

Révision 547c52bb (diff)
Ajouté par Emmanuel GARETTE il y a environ 8 ans

ne pas passer par cNTLM si l'authentification n'est pas activée sur l'interface (ref #13382 @1h)

Révision 30040b23 (diff)
Ajouté par Emmanuel GARETTE il y a environ 8 ans

cache les variables activer_cntlm_eth si squid_auth_eth n'est pas activé sur l'interface (ref #13382)

Historique

#1 Mis à jour par Scrum Master il y a plus de 8 ans

  • Tâche parente changé de #13367 à #13401

#2 Mis à jour par Daniel Dehennin il y a plus de 8 ans

Le problème ne se présente qu’avec le proxy cNTLM.

Voilà les seuls logs disponibles en essayant de se connecter à l’interface de sympa.

==> cntlm.debug.log <==
2015-10-08T10:19:29.199769+02:00 amon.etb1.lan cntlm[27049]: message repeated 2 times: [ 10.1.2.51 GET http://scribe.etb1.lan:8888/wws2]
==> e2guardian0.err.log <==
2015-10-08T10:19:29.527353+02:00 amon.etb1.lan e2guardian0[1369]: NTLM - step 2 was not part of an auth handshake! (HTTP/1.1 200 OK#015)
2015-10-08T10:19:29.528535+02:00 amon.etb1.lan e2guardian0[1369]: Auth plugin returned error code: -1

#3 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • Sujet changé de Correction SCRIBE-T03-007 2.5.1b2 à Impossible de se connecter à sympa à travers le proxy cNTLM (SCRIBE-T03-007 2.5.1b2)

#4 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • Tâche parente #13401 supprimé

#5 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • Tracker changé de Tâche à Scénario
  • Sujet changé de Impossible de se connecter à sympa à travers le proxy cNTLM (SCRIBE-T03-007 2.5.1b2) à Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients
  • Description mis à jour (diff)
  • Version cible Sprint 2015 39-41 - Équipe MENESR supprimé
  • Début 05/10/2015 supprimé

Il apparaît que le réseau DMZ sur l’interface eth3 est exclu de l’authentification squid (eole-proxy:source:tmpl/common-squid1.conf@fdd03d2#L736)

root@amon:~# rgrep -F 'dst 10.1.3.0' /etc/squid3/
/etc/squid3/common-squid1.conf:acl reseaueth3 dst 10.1.3.0/24
root@amon:~# rgrep -F 'reseaueth3' /etc/squid3/
/etc/squid3/common-squid1.conf:acl reseaueth3 dst 10.1.3.0/24
/etc/squid3/common-squid1.conf:http_access allow reseaueth3

Comme tous les autres réseaux gérés par l’amon.

#6 Mis à jour par Daniel Dehennin il y a plus de 8 ans

  • Temps estimé 1.00 h supprimé

#7 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans

  • Tracker changé de Scénario à Tâche
  • Temps estimé mis à 3.00 h
  • Tâche parente mis à #13736

#8 Mis à jour par Emmanuel GARETTE il y a environ 8 ans

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Emmanuel GARETTE
  • Début mis à 05/01/2016

#9 Mis à jour par Emmanuel GARETTE il y a environ 8 ans

De plus, l'authentification peut être géré que pour une interface (et pas la 2eme).

#10 Mis à jour par Emmanuel GARETTE il y a environ 8 ans

  • % réalisé changé de 0 à 100
  • Restant à faire (heures) changé de 1.0 à 0.25

#11 Mis à jour par Scrum Master il y a environ 8 ans

  • Statut changé de En cours à Résolu

#12 Mis à jour par Fabrice Barconnière il y a environ 8 ans

  • Restant à faire (heures) changé de 0.25 à 0.0
Test sur poste admin hors domaine :
  • Avec wpad : OK
  • En forçant le proxy cNTLM : NOK (on le sait)
  • Avec wpad en désactivant l'authentification Squid sur eth1 : OK, on passe bien par 3128 et la variable et cachée dans gen_config

#13 Mis à jour par Scrum Master il y a environ 8 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF