Projet

Général

Profil

Demande #16048

Authentification ntlm sur proxy eole 2.4.2 impossible suite mise à jour

Ajouté par Jean-Marie Biansan il y a presque 8 ans. Mis à jour il y a presque 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
-
Début:
02/05/2016
Echéance:
% réalisé:

100%


Description

Sur eolebase à une seule carte avec proxy-eole installé en 2.4.2, l'authentification ntlm/kerberos ne fonctionne plus depuis la dernière mise à jour (quel que soit le navigateur): la fenêtre d'authentification s'ouvre et l'authentification n'aboutit pas, la fenêtre se réouvre, etc...
Même pbe en 2.4.0. Pas de pbe en 2.5.1.
Les commandes wbinfo -u et wbinfo -g ne donnent pas les utilisateurs et groupes de l'AD.
Peut-être lié à la mise à jour de samba en 3.6.25 (ubuntu).
Beaucoup d'établissements impactés dans notre académie.


Demandes liées

Lié à Distribution EOLE - Tâche #16107: Tester l’authentification proxy ntlm Fermé 10/05/2016

Historique

#1 Mis à jour par Daniel Dehennin il y a presque 8 ans

  • Statut changé de Nouveau à En attente d'informations
  • Assigné à mis à Daniel Dehennin

Bonjour,

Un nouveau paquet samba a été diffusé par Ubuntu afin de corriger les régressions (#15937#note-25).

Votre problème d’authentification est-il corrigé avec ce paquet ?

#2 Mis à jour par Jean-Marie Biansan il y a presque 8 ans

Bonjour

Non cette mise à jour ne résout pas le pbe...
Nouveau retour en 3.6.3 en attendant mieux.

#3 Mis à jour par Daniel Dehennin il y a presque 8 ans

Nous allons tenter de reproduire votre problème (#16107), pouvez-vous nous décrire votre environnement ?

Merci.

#4 Mis à jour par Jean-Marie Biansan il y a presque 8 ans

Eole base +eole-proxy installé en vm (soit sur du esxi, soit de l'hyper-v). 1 seule carte réseau. DNS=ip du controleur de domaine sous windows server 2012.
Proxy authentifié. Authentification ntlm/kerberos sur domaine windows.
Eole intégré au domaine.
Dans squid.conf patché, test de l'appartenance à un groupe windows pour autoriser l'accès.

Sur les postes clients du domaine, le proxy des navigateurs est l'ip d'eole port 3128.

Vous faut-il plus de renseignements ?

#5 Mis à jour par Daniel Dehennin il y a presque 8 ans

Jean-Marie Biansan a écrit :

[...]
Dans squid.conf patché, test de l'appartenance à un groupe windows pour autoriser l'accès.

Est-il possible de fournir le patch ?

#6 Mis à jour par Jean-Marie Biansan il y a presque 8 ans

Contenu de 01squid.conf:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=D-LAPEROUSE.LOCAL\\InternetAllowed
auth_param ntlm children 250
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=D-LAPEROUSE.LOCAL\\InternetAllowed
auth_param basic children 250
auth_param basic realm D-LAPEROUSE.LOCAL
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl snmppublic snmp_community public
acl password proxy_auth REQUIRED
append_domain .d-laperouse.local
http_port 127.0.0.1:8080 intercept
minimum_object_size 0 KB
maximum_object_size 32768 KB
cache_dir ufs /var/spool/squid3 1000 16 256
access_log syslog:LOG_LOCAL1|LOG_INFO squid
pid_filename /var/run/squid3.pid
include /etc/squid3/common-squid1.conf
include /etc/squid3/01inc-squid.conf
include /etc/squid3/common-squid2.conf

#7 Mis à jour par Daniel Dehennin il y a presque 8 ans

Il y a un nouveau paquet samba en version 2:3.6.25-0ubuntu0.12.04.4 qui corrige certaines régressions.

#8 Mis à jour par Jean-Marie Biansan il y a presque 8 ans

Bonjour

Oui, avec la toute dernière mise à jour, l'authentification refonctionne !
Pbe résolu donc, merci.

#9 Mis à jour par Daniel Dehennin il y a presque 8 ans

  • Statut changé de En attente d'informations à Fermé
  • % réalisé changé de 0 à 100

Merci de votre retour

Formats disponibles : Atom PDF