Projet

Général

Profil

Scénario #19715

Vérifier qu'e2guardian utilise bien X-Forwarded-For pour les Groupe de machine

Ajouté par Joël Cuissinat il y a environ 7 ans. Mis à jour il y a environ 7 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
sprint 2017 10-12 Equipe MENSR
Début:
06/03/2017
Echéance:
24/03/2017
% réalisé:

100%

Temps estimé:
(Total: 1.00 h)
Points de scénarios:
1.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:

Description

Test : Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon)

http://squash-tm.eole.lan/squash/executions/4899

La navigation est possible sous Linux (Cntlm) alors qu'elle devrait être interdite.

Voir avec upstream.

Sous-tâches

Tâche #19773: Correction PROXY-T10-006 - Groupe de machine avec politique "mode liste blanche"Ne sera pas résolu

Tâche #19774: Correction PROXY-T10-007 - Groupe de machine avec politique de filtrage personnalisé sur AmonecoleNe sera pas résolu

Historique

#1 Mis à jour par Joël Cuissinat il y a environ 7 ans

  • Tâche parente changé de #19507 à #19508

#2 Mis à jour par Joël Cuissinat il y a environ 7 ans

À rapprocher de :

#3 Mis à jour par Daniel Dehennin il y a environ 7 ans

  • Sujet changé de PROXY-T10-001 - Groupe de machine avec politique "interdits" (beta4 - Amon) à Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon)

#4 Mis à jour par Scrum Master il y a environ 7 ans

  • Sujet changé de Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon) à Vérifier qu'e2guardian utilise bien X-Forwarded-For pour les Groupe de machine
  • Description mis à jour (diff)
  • Tâche parente #19508 supprimé

#5 Mis à jour par Scrum Master il y a environ 7 ans

  • Tracker changé de Tâche à Scénario
  • Echéance mis à 24/03/2017

#6 Mis à jour par Daniel Dehennin il y a environ 7 ans

Le problème vient du fait que le permier plugin d’authentification qui identifie l’utilisateur défini le groupe de filtrage.

La différence de fonctionnement visible entre un poste client intégrée au domaine Scribe et un poste utilisant cNTLM tient de la différence de traitement de l’authentification.

Une machine client utilisant cNTLM

  1. Le navigateur se connecte au proxy cNTLM
  2. Le proxy négocie l’authentification avec le navigateur
  3. Le proxy envoit le paquet authentifié à e2guardian avec l’entête Proxy-Authorization
  4. e2guardian voit une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm détecte l’entête Proxy-Authorization et valide l’authentification
    2. Le plugin proxy-ntlm détermine le groupe de filtrage basé sur le nom d’utilisateur (dans mon cas aucun)
    3. Aucun autre plugin d’authentification n’est joué
  5. e2guardian applique le filtrage déterminé par son groupe de filtrage (dans mon cas aucun)
  6. La connexion est transmise à squid et la connexion continue

Une machine client intégrée au domaine ne correspondant pas à un groupe de machine déclaré dans l’EAD

  1. Le navigateur se connecte à e2guardian
  2. e2guardian voit une une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm ne détecte pas l’entête Proxy-Authorization
      50241 -Not got persistent credentials for this connection - querying auth plugins
50241 -Querying next auth plugin...
No auth negotiation currently in progress - making initial request persistent so that proxy will advertise NTLM
    2. Le plugin proxy-basic ne prend pas en charge la connexion
      Auth plugin did not find a match; querying remaining plugins
50241 -Querying next auth plugin...
    3. Le plugin ip ne trouve pas de correspondance entre l’IP de la station cliente et un groupe de machine
  3. e2guardian transmet la connexion à squid
  4. squid demande une négociation d’authentification qui est transmise au navigateur
  5. Le navigateur se reconnecte à e2guardian en ajoutant l’entête Proxy-Authorization
  6. e2guardian voit une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm détecte l’entête Proxy-Authorization et valide l’authentification
    2. Le plugin proxy-ntlm détermine le groupe de filtrage basé sur le nom d’utilisateur (dans mon cas aucun)
    3. Aucun autre plugin d’authentification n’est joué
  7. e2guardian applique le filtrage déterminé par son groupe de filtrage (dans mon cas aucun)
  8. La connexion est transmise à squid et la connexion continue

Une machine client intégrée au domaine correspondant à un groupe de machine déclaré dans l’EAD

  1. Le navigateur se connecte à e2guardian
  2. e2guardian voit une une nouvelle connexion et joue les plugins d’authentification
    1. Le plugin proxy-ntlm ne détecte pas l’entête Proxy-Authorization
      50241 -Not got persistent credentials for this connection - querying auth plugins
50241 -Querying next auth plugin...
No auth negotiation currently in progress - making initial request persistent so that proxy will advertise NTLM
    2. Le plugin proxy-basic ne prend pas en charge la connexion
      Auth plugin did not find a match; querying remaining plugins
50241 -Querying next auth plugin...
    3. Le plugin ip trouve une correspondance entre l’IP de la station cliente et le groupe de machine squash et détermine le groupe de filtrage associé
  3. e2guardian applique le filtrage déterminé par son groupe de filtrage → interdit bloque toutes les connexions

#7 Mis à jour par Joël Cuissinat il y a environ 7 ans

  • Points de scénarios mis à 1.0

#8 Mis à jour par Scrum Master il y a environ 7 ans

  • Statut changé de Nouveau à Terminé (Sprint)

Formats disponibles : Atom PDF