Project

General

Profile

Scénario #19715

Vérifier qu'e2guardian utilise bien X-Forwarded-For pour les Groupe de machine

Added by Joël Cuissinat over 6 years ago. Updated over 6 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
sprint 2017 10-12 Equipe MENSR
Start date:
03/06/2017
Due date:
03/24/2017
% Done:

100%

Estimated time:
(Total: 1.00 h)
Story points:
1.0
Remaining (hours):
0.00 hour
Velocity based estimate:

Description

Test : Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon)

http://squash-tm.eole.lan/squash/executions/4899

La navigation est possible sous Linux (Cntlm) alors qu'elle devrait être interdite.

Voir avec upstream.

Subtasks

Tâche #19773: Correction PROXY-T10-006 - Groupe de machine avec politique "mode liste blanche"Ne sera pas résolu

Tâche #19774: Correction PROXY-T10-007 - Groupe de machine avec politique de filtrage personnalisé sur AmonecoleNe sera pas résolu

History

#1 Updated by Joël Cuissinat over 6 years ago

  • Parent task changed from #19507 to #19508

#2 Updated by Joël Cuissinat over 6 years ago

À rapprocher de :

#3 Updated by Daniel Dehennin over 6 years ago

  • Subject changed from PROXY-T10-001 - Groupe de machine avec politique "interdits" (beta4 - Amon) to Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon)

#4 Updated by Scrum Master over 6 years ago

  • Subject changed from Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon) to Vérifier qu'e2guardian utilise bien X-Forwarded-For pour les Groupe de machine
  • Description updated (diff)
  • Parent task deleted (#19508)

#5 Updated by Scrum Master over 6 years ago

  • Tracker changed from Tâche to Scénario
  • Due date set to 03/24/2017

#6 Updated by Daniel Dehennin over 6 years ago

Le problème vient du fait que le permier plugin d’authentification qui identifie l’utilisateur défini le groupe de filtrage.

La différence de fonctionnement visible entre un poste client intégrée au domaine Scribe et un poste utilisant cNTLM tient de la différence de traitement de l’authentification.

Une machine client utilisant cNTLM

  1. Le navigateur se connecte au proxy cNTLM
  2. Le proxy négocie l’authentification avec le navigateur
  3. Le proxy envoit le paquet authentifié à e2guardian avec l’entête Proxy-Authorization
  4. e2guardian voit une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm détecte l’entête Proxy-Authorization et valide l’authentification
    2. Le plugin proxy-ntlm détermine le groupe de filtrage basé sur le nom d’utilisateur (dans mon cas aucun)
    3. Aucun autre plugin d’authentification n’est joué
  5. e2guardian applique le filtrage déterminé par son groupe de filtrage (dans mon cas aucun)
  6. La connexion est transmise à squid et la connexion continue

Une machine client intégrée au domaine ne correspondant pas à un groupe de machine déclaré dans l’EAD

  1. Le navigateur se connecte à e2guardian
  2. e2guardian voit une une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm ne détecte pas l’entête Proxy-Authorization
      50241 -Not got persistent credentials for this connection - querying auth plugins
50241 -Querying next auth plugin...
No auth negotiation currently in progress - making initial request persistent so that proxy will advertise NTLM
    2. Le plugin proxy-basic ne prend pas en charge la connexion
      Auth plugin did not find a match; querying remaining plugins
50241 -Querying next auth plugin...
    3. Le plugin ip ne trouve pas de correspondance entre l’IP de la station cliente et un groupe de machine
  3. e2guardian transmet la connexion à squid
  4. squid demande une négociation d’authentification qui est transmise au navigateur
  5. Le navigateur se reconnecte à e2guardian en ajoutant l’entête Proxy-Authorization
  6. e2guardian voit une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm détecte l’entête Proxy-Authorization et valide l’authentification
    2. Le plugin proxy-ntlm détermine le groupe de filtrage basé sur le nom d’utilisateur (dans mon cas aucun)
    3. Aucun autre plugin d’authentification n’est joué
  7. e2guardian applique le filtrage déterminé par son groupe de filtrage (dans mon cas aucun)
  8. La connexion est transmise à squid et la connexion continue

Une machine client intégrée au domaine correspondant à un groupe de machine déclaré dans l’EAD

  1. Le navigateur se connecte à e2guardian
  2. e2guardian voit une une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm ne détecte pas l’entête Proxy-Authorization
      50241 -Not got persistent credentials for this connection - querying auth plugins
50241 -Querying next auth plugin...
No auth negotiation currently in progress - making initial request persistent so that proxy will advertise NTLM
    2. Le plugin proxy-basic ne prend pas en charge la connexion
      Auth plugin did not find a match; querying remaining plugins
50241 -Querying next auth plugin...
    3. Le plugin ip trouve une correspondance entre l’IP de la station cliente et le groupe de machine squash et détermine le groupe de filtrage associé
  3. e2guardian applique le filtrage déterminé par son groupe de filtrage → interdit bloque toutes les connexions

#7 Updated by Joël Cuissinat over 6 years ago

  • Story points set to 1.0

#8 Updated by Scrum Master over 6 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF