Tâche #13382
Scénario #13736: Gestion des sites déclarés en exception d'authentification avec cNTLM
Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients
Description
En utilisant cNTLM il n’est pas possible d’accéder aux services HTTP de la DMZ depuis un poste admin ou péda.
Test avec 4 machines :
- Un poste
etb1.pcprofs-7
intégré au domaine utilisant le proxy10.1.2.1:3128
- Un poste
etb1.pcprofs-xubuntu
non intégré au domaine utilisant la détection de proxy automatique (cNTLM sur10.1.2.1:3127
) - Un poste
etb1.pcadmin-7
intégré au domaine utilisant le proxy10.1.1.1:3128
- Un poste
etb1.pcadmin-xubuntu
non intégré au domaine utilisant la détection de proxy automatique (cNTLM sur10.1.1.1:3127
)
Tableau récapitulatif des tests :
etb1.pcprofs-7 | etb1.pcprofs-xubuntu | etb1.pcadmin-7 | etb1.pcadmin-xubuntu | |
---|---|---|---|---|
https://etb1.ac-test.fr:4203 | ✓ | ✓ | ✓ | ✓ |
https://192.168.0.31:4203 | ✓ | ✓ | ✓ | ✓ |
https://scribe.etb1.lan:4200 | ✓ | ✓ | ||
https://10.1.3.5:4200 | ✓ | ✓ |
Révisions associées
ne pas passer par cNTLM pour les réseaux locaux (ref #13382 @2h)
ne pas passer par cNTLM si l'authentification n'est pas activée sur l'interface (ref #13382 @1h)
cache les variables activer_cntlm_eth si squid_auth_eth n'est pas activé sur l'interface (ref #13382)
Historique
#1 Mis à jour par Scrum Master il y a plus de 8 ans
- Tâche parente changé de #13367 à #13401
#2 Mis à jour par Daniel Dehennin il y a plus de 8 ans
Le problème ne se présente qu’avec le proxy cNTLM.
Voilà les seuls logs disponibles en essayant de se connecter à l’interface de sympa.
==> cntlm.debug.log <== 2015-10-08T10:19:29.199769+02:00 amon.etb1.lan cntlm[27049]: message repeated 2 times: [ 10.1.2.51 GET http://scribe.etb1.lan:8888/wws2]
==> e2guardian0.err.log <== 2015-10-08T10:19:29.527353+02:00 amon.etb1.lan e2guardian0[1369]: NTLM - step 2 was not part of an auth handshake! (HTTP/1.1 200 OK#015) 2015-10-08T10:19:29.528535+02:00 amon.etb1.lan e2guardian0[1369]: Auth plugin returned error code: -1
#3 Mis à jour par Daniel Dehennin il y a plus de 8 ans
- Sujet changé de Correction SCRIBE-T03-007 2.5.1b2 à Impossible de se connecter à sympa à travers le proxy cNTLM (SCRIBE-T03-007 2.5.1b2)
#4 Mis à jour par Daniel Dehennin il y a plus de 8 ans
- Tâche parente
#13401supprimé
#5 Mis à jour par Daniel Dehennin il y a plus de 8 ans
- Tracker changé de Tâche à Scénario
- Sujet changé de Impossible de se connecter à sympa à travers le proxy cNTLM (SCRIBE-T03-007 2.5.1b2) à Problème d’accès à la DMZ à travers cNTLM depuis un réseau des postes clients
- Description mis à jour (diff)
- Version cible
Sprint 2015 39-41 - Équipe MENESRsupprimé - Début
05/10/2015supprimé
Il apparaît que le réseau DMZ sur l’interface eth3 est exclu de l’authentification squid (eole-proxy:source:tmpl/common-squid1.conf@fdd03d2#L736)
root@amon:~# rgrep -F 'dst 10.1.3.0' /etc/squid3/ /etc/squid3/common-squid1.conf:acl reseaueth3 dst 10.1.3.0/24 root@amon:~# rgrep -F 'reseaueth3' /etc/squid3/ /etc/squid3/common-squid1.conf:acl reseaueth3 dst 10.1.3.0/24 /etc/squid3/common-squid1.conf:http_access allow reseaueth3
Comme tous les autres réseaux gérés par l’amon.
#6 Mis à jour par Daniel Dehennin il y a plus de 8 ans
- Temps estimé
1.00 hsupprimé
#7 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Tracker changé de Scénario à Tâche
- Temps estimé mis à 3.00 h
- Tâche parente mis à #13736
#8 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Emmanuel GARETTE
- Début mis à 05/01/2016
#9 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
De plus, l'authentification peut être géré que pour une interface (et pas la 2eme).
#10 Mis à jour par Emmanuel GARETTE il y a environ 8 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 1.0 à 0.25
#11 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de En cours à Résolu
#12 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- Restant à faire (heures) changé de 0.25 à 0.0
- Avec wpad : OK
- En forçant le proxy cNTLM : NOK (on le sait)
- Avec wpad en désactivant l'authentification Squid sur eth1 : OK, on passe bien par 3128 et la variable et cachée dans gen_config
#13 Mis à jour par Scrum Master il y a environ 8 ans
- Statut changé de Résolu à Fermé