Project

General

Profile

Tâche #16084

Scénario #19755: Compiler un paquet E2Guardian 3.5.1 et le tester

[suivi upstream] Filtrage différencié e2guardian ne fonctionne pas sous eole-proxy 2.5.2

Added by Jean-Marie Biansan over 3 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
03/09/2017
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Config: eole-proxy +eole-wpad 2.5.2

Quand on rajoute dans l'ead un utilisateur dans un groupe de filtrage optionnel, c'est bien enregistré et c'est bien rajouté dans /var/lib/blacklists/common/dansguardian0/filtergroupslist, mais cet utilisateur subit toujours le filtrage par défaut et pas le filtrage optionnel choisi.

Capture d’écran_2016-06-06_11-10-47.png View (16.8 KB) Klaas TJEBBES, 06/06/2016 11:23 AM

Capture d’écran_2016-06-06_11-09-48.png View (29.6 KB) Klaas TJEBBES, 06/06/2016 11:23 AM

e2captures.zip - captures Wireshark e2guardian NTLM (18.7 KB) Klaas TJEBBES, 09/20/2016 04:04 PM


Related issues

Related to Amon - Demande #16174: problème de fonctionnement e2guardian : logins + https Classée sans suite 05/24/2016
Related to e2guardian - Scénario #19089: Packager la version 3.5 de E2Guardian Terminé (Sprint) 02/13/2017 03/03/2017
Copied to Distribution EOLE - Scénario #16571: Rétro-porter la correction sur le filtrage différencié e2guardian avec l'authentification NTLM (e2guardian 3.5.1) Partiellement Réalisé 04/18/2017 05/05/2017

Associated revisions

Revision 818c8562 (diff)
Added by Klaas TJEBBES over 3 years ago

EAD e2guardian : remplacement des "reload" par des "restart" REF #16084 @ 1.5h

Revision 1531d79d (diff)
Added by Fabrice Barconnière over 2 years ago

Revert "EAD e2guardian : remplacement des "reload" par des "restart" REF #16084 @ 1.5h"

This reverts commit 818c8562225a239f31a9033e160acde50ee3a820.

History

#1 Updated by Fabrice Barconnière over 3 years ago

  • Estimated time set to 1.00 h
  • Parent task set to #16057

#2 Updated by Joël Cuissinat over 3 years ago

  • Remaining (hours) set to 1.0

#3 Updated by Joël Cuissinat over 3 years ago

  • Estimated time changed from 1.00 h to 2.00 h
  • Remaining (hours) changed from 1.0 to 2.0

#4 Updated by Klaas TJEBBES over 3 years ago

  • Status changed from Nouveau to En cours

#5 Updated by Klaas TJEBBES over 3 years ago

  • Assigned To set to Klaas TJEBBES

#6 Updated by Klaas TJEBBES over 3 years ago

Sur Amon 2.5.2, le problème se pose également.

Il faudrait un "service eole-guardian restart", la fonction "reload" ne semble pas fonctionner à chaque fois, malgré que les log de e2guardian indiquent qu'un reload a bien été effectué :

root@amon:~# tail -f log/rsyslog/local/e2guardian/e2guardian0.info.log|grep -i reload
2016-05-12T15:23:22.275844+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload starting
2016-05-12T15:23:51.396499+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload completed
2016-05-12T15:25:19.524115+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload starting
2016-05-12T15:26:37.457649+02:00 amon.etb1.lan e2guardian0[16292]: Reconfiguring E2guardian: gentle reload completed

De plus le reload est plus long qu'un restart :
root@amon:~# time service eole-guardian restart
 * Stopping e2guardian                                      [ OK ] 
 * Starting e2guardian                   
 * Instance #guardian0                                      [ OK ] 

real    0m5.682s
user    0m2.540s
sys     0m0.088s

#7 Updated by Daniel Dehennin over 3 years ago

Klaas TJEBBES a écrit :

De plus le reload est plus long qu'un restart :
[...]

Probablement pour éviter de couper les connexions en cours des utilisateurs.

#8 Updated by Klaas TJEBBES over 3 years ago

Paquet ead refait en 2.6.

#9 Updated by Jean-Marie Biansan over 3 years ago

Bonjour

Je ne pense pas que le pbe de départ soit lié à l'EAD: si on met directement la bonne ligne dans /var/lib/blacklists/common/dansguardian0/filtergroupslist (et qu'on fasse ou pas un reconfigure après), le filtrage différencié ne fonctionne pas.

#10 Updated by Scrum Master over 3 years ago

  • Status changed from En cours to Résolu

#11 Updated by Klaas TJEBBES over 3 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 2.0 to 0.0

#12 Updated by Klaas TJEBBES over 3 years ago

  • % Done changed from 0 to 100

Testé avec Yo.
Diffusé sur 2.6 uniquement.

#13 Updated by Klaas TJEBBES over 3 years ago

En utilisant l'authentification NTLM, on reproduit le problème. Mais la page d'interdiction est tronquée.

Captures d'écran, Youtube a été interdit en politique par défaut mais reste autorisé en politique "1".
  • admin en politique par défaut essaye d'accéder à Youtube => page d'interdiction normale (login, Ip machine, adresse refusée : OK)
  • admin en politique "1" essaye d'accéder à Youtube => page d'interdiction tronquée (seulement "adresse refusée" mais sans l'URL !)

#14 Updated by Klaas TJEBBES over 3 years ago

  • Parent task changed from #16057 to #16214

#15 Updated by Klaas TJEBBES over 3 years ago

Signalement ouvert chez e2guardian :
https://github.com/e2guardian/e2guardian/issues/130

#16 Updated by Klaas TJEBBES over 3 years ago

Le serveur Kerberos de M.Biansan est un Windows Server 2012.

#17 Updated by Joël Cuissinat over 3 years ago

  • Status changed from En cours to Reporté

=> nouveau scénario : #16571

#18 Updated by Klaas TJEBBES about 3 years ago

  • Parent task changed from #16214 to #16963

#19 Updated by Klaas TJEBBES about 3 years ago

  • Status changed from Reporté to Nouveau

#20 Updated by Klaas TJEBBES about 3 years ago

  • Status changed from Nouveau to En cours

#21 Updated by Klaas TJEBBES almost 3 years ago

Ajout de captures Wireshark au signalement effectué chez e2guardian.
https://github.com/e2guardian/e2guardian/issues/130#issuecomment-248307401

#22 Updated by Joël Cuissinat almost 3 years ago

  • Subject changed from Filtrage différencié e2guardian ne fonctionne pas sous eole-proxy 2.5.2 to [suivi upstream] Filtrage différencié e2guardian ne fonctionne pas sous eole-proxy 2.5.2
  • Parent task changed from #16963 to #17170

#23 Updated by Joël Cuissinat almost 3 years ago

  • Parent task changed from #17170 to #17455

#24 Updated by Klaas TJEBBES almost 3 years ago

  • Assigned To deleted (Klaas TJEBBES)

#25 Updated by Klaas TJEBBES almost 3 years ago

Dans mon mail du 06 octobre 2016 au développeur e2guardian "" ( en copie) j'ai proposé qu'il utilise notre infrastructure pour debugger.

#26 Updated by Scrum Master almost 3 years ago

  • Status changed from En cours to Nouveau
  • Parent task changed from #17455 to #17578

#27 Updated by Scrum Master almost 3 years ago

  • Status changed from Nouveau to En cours

#28 Updated by Scrum Master almost 3 years ago

  • Assigned To set to Klaas TJEBBES
  • Remaining (hours) changed from 0.0 to 2.0

#29 Updated by Joël Cuissinat almost 3 years ago

  • Status changed from En cours to Nouveau
  • Start date deleted (05/06/2016)
  • % Done changed from 100 to 0
  • Parent task deleted (#17578)

#30 Updated by Joël Cuissinat almost 3 years ago

  • Tracker changed from Tâche to Proposition Scénario
  • Target version deleted (sprint 2016 42-44 - Équipe MENSR)

#31 Updated by Klaas TJEBBES over 2 years ago

  • Related to Demande #16174: problème de fonctionnement e2guardian : logins + https added

#33 Updated by Klaas TJEBBES over 2 years ago

Procédure pour tester (installer la version de dev dans "/teste2g" :

apt install -y git base-files base-passwd bash coreutils dash debianutils diffutils dpkg e2fsprogs findutils grep gzip hostname ncurses-base ncurses-bin perl-base sed login tar bsdutils mount util-linux libc6-dev  libc-dev gcc  g++  make dpkg-dev  autotools-dev debhelper  dh-autoreconf dpatch  libclamav-dev  libpcre3-dev zlib1g-dev pkg-config libssl-dev autoconf make
git clone https://github.com/e2guardian/e2guardian.git
cd e2guardian
git checkout develop
git pull
./autogen.sh
./configure '--prefix=/teste2g' '--enable-clamd=yes' '--with-proxyuser=e2guardian' '--with-proxygroup=e2guardian' '--sysconfdir=/teste2g/etc' '--localstatedir=/teste2g/var' '--enable-icap=yes' '--enable-commandline=yes' '--enable-email=yes' '--enable-ntlm=yes' '--enable-trickledm=yes' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' 'CXXFLAGS=-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' 'LDFLAGS=-Wl,-z,relro' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CFLAGS=-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' '--enable-pcre=yes' '--enable-sslmitm=yes'
make
make install

service eole-guardian stop
for i in /etc/guardian/guardian*; do screen -dm /teste2g/sbin/e2guardian -c $i/guardian.conf -N; done
killall e2guardian

ATTENTION, éditer/patcher squid.conf (01squid.conf) pour y ajouter :

auth_param ntlm keep_alive off

#34 Updated by Jean-Marc MELET over 2 years ago

Je confirme que le filtrage différencié fonctionne à nouveau grâce à ce correctif (testé sous FF, IE et Chrome)

Le seuls bémol est qu'on ne peut pas consulter les logs avec cette version de dev pour suivre les connexions et l'authentification lors des tests.
Par ailleurs, comme évoqué ici: https://dev-eole.ac-dijon.fr/issues/16084#note-6, je précise qu'il faut redémarrer complètement les process e2g pour prendre en compte une modif de filtrage (j'avais déja remarqué la chose avant). Reste à demander pourquoi aux developpeurs, ou bien savoir si on est favorable à un restart systématique.

Merci pour le travail et le temps passé sur ce bug, nous espérons des retours rapides d'autres académies et attendons avec impatience l'intégration du correctif dans une prochaine mise à jour.

#35 Updated by Klaas TJEBBES over 2 years ago

#36 Updated by Jean-Marc MELET over 2 years ago

Bonjour,

Du nouveau concernant cette nouvelle version? le commentaire https://dev-eole.ac-dijon.fr/issues/16571#note-12 n'est guère engageant. Pourtant en suivant la procédure décrite pour tester la version de dev tout avait l'air de fonctionner...

#37 Updated by Klaas TJEBBES over 2 years ago

  • Parent task set to #19381

#38 Updated by Klaas TJEBBES over 2 years ago

E2Guardian a été packagé pour 2.6, pour tester le package :
echo "deb http://test-eole.ac-dijon.fr/eole eole-2.6-experimental main" > /etc/apt/sources.list.d/experimental.list
apt update
apt install e2guardian/eole-2.6-experimental

ATTENTION, c'est experimental. Mais, une fois validé, on pourra envisager un backport sur 2.5.

#39 Updated by Klaas TJEBBES over 2 years ago

  • Status changed from Nouveau to En cours
  • Start date set to 03/09/2017

#40 Updated by Scrum Master over 2 years ago

  • Status changed from En cours to Nouveau
  • Assigned To deleted (Klaas TJEBBES)
  • Parent task changed from #19381 to #19755

#41 Updated by Scrum Master over 2 years ago

  • Status changed from Nouveau to En cours

#42 Updated by Scrum Master over 2 years ago

  • Assigned To set to Daniel Dehennin

#43 Updated by Daniel Dehennin over 2 years ago

  • Status changed from En cours to Nouveau
  • Assigned To deleted (Daniel Dehennin)

#44 Updated by Joël Cuissinat over 2 years ago

  • Status changed from Nouveau to Résolu
  • Assigned To set to Joël Cuissinat
  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.0 to 0.0

Je viens de copier le paquet eole-2.6-unstable en eole-2.6.1-proposed-updates.
La version EOLE 2.6.1 contiendra bien e2guardian 3.5.1.

root@amon:~# apt-cache policy e2guardian 
e2guardian:
  Installé : 3.5.1-1
  Candidat : 3.5.1-1
 Table de version :
 *** 3.5.1-1 500
        500 http://test-eole.ac-dijon.fr/eole eole-2.6.1-proposed-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     3.2.0-4 500
        500 http://test-eole.ac-dijon.fr/eole eole-2.6.1/main amd64 Packages

Cette demande étant devenu illisible, je propose de la fermer quitte à en ouvrir une autre pour le rétro-portage et/ou (ré)utiliser le scénario prévu entre-temps : #16571

#45 Updated by Scrum Master over 2 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF