Scénario #19715
Vérifier qu'e2guardian utilise bien X-Forwarded-For pour les Groupe de machine
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
Début:
06/03/2017
Echéance:
24/03/2017
% réalisé:
100%
Temps estimé:
(Total: 1.00 h)
Points de scénarios:
1.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Description
Test : Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon)
http://squash-tm.eole.lan/squash/executions/4899
La navigation est possible sous Linux (Cntlm) alors qu'elle devrait être interdite.
Voir avec upstream.
Sous-tâches
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Tâche parente changé de #19507 à #19508
#2 Mis à jour par Joël Cuissinat il y a environ 7 ans
À rapprocher de :
- PROXY-T10-006 - Groupe de machine avec politique "mode liste blanche" : http://squash-tm.eole.lan/squash/executions/4936
- PROXY-T10-007 - Groupe de machine avec politique de filtrage personnalisée : http://squash-tm.eole.lan/squash/executions/4955/executions/4955
#3 Mis à jour par Daniel Dehennin il y a environ 7 ans
- Sujet changé de PROXY-T10-001 - Groupe de machine avec politique "interdits" (beta4 - Amon) à Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon)
#4 Mis à jour par Scrum Master il y a environ 7 ans
- Sujet changé de Correction PROXY-T10-001 - Groupe de machine avec politique "interdits" (2.6.1-b4 - Amon) à Vérifier qu'e2guardian utilise bien X-Forwarded-For pour les Groupe de machine
- Description mis à jour (diff)
- Tâche parente
#19508supprimé
#5 Mis à jour par Scrum Master il y a environ 7 ans
- Tracker changé de Tâche à Scénario
- Echéance mis à 24/03/2017
#6 Mis à jour par Daniel Dehennin il y a environ 7 ans
Le problème vient du fait que le permier plugin d’authentification qui identifie l’utilisateur défini le groupe de filtrage.
La différence de fonctionnement visible entre un poste client intégrée au domaine Scribe et un poste utilisant cNTLM tient de la différence de traitement de l’authentification.
Une machine client utilisant cNTLM¶
- Le navigateur se connecte au proxy cNTLM
- Le proxy négocie l’authentification avec le navigateur
- Le proxy envoit le paquet authentifié à e2guardian avec l’entête
Proxy-Authorization
- e2guardian voit une nouvelle connexion et joue les plugins d’authentification
- Le plugin
proxy-ntlm
détecte l’entêteProxy-Authorization
et valide l’authentification - Le plugin
proxy-ntlm
détermine le groupe de filtrage basé sur le nom d’utilisateur (dans mon cas aucun) - Aucun autre plugin d’authentification n’est joué
- Le plugin
- e2guardian applique le filtrage déterminé par son groupe de filtrage (dans mon cas aucun)
- La connexion est transmise à squid et la connexion continue
Une machine client intégrée au domaine ne correspondant pas à un groupe de machine déclaré dans l’EAD¶
- Le navigateur se connecte à e2guardian
- e2guardian voit une une nouvelle connexion et joue les plugins d’authentification
- Le plugin
proxy-ntlm
ne détecte pas l’entêteProxy-Authorization
50241 -Not got persistent credentials for this connection - querying auth plugins 50241 -Querying next auth plugin... No auth negotiation currently in progress - making initial request persistent so that proxy will advertise NTLM
- Le plugin
proxy-basic
ne prend pas en charge la connexionAuth plugin did not find a match; querying remaining plugins 50241 -Querying next auth plugin...
- Le plugin
ip
ne trouve pas de correspondance entre l’IP de la station cliente et un groupe de machine
- Le plugin
- e2guardian transmet la connexion à squid
- squid demande une négociation d’authentification qui est transmise au navigateur
- Le navigateur se reconnecte à e2guardian en ajoutant l’entête
Proxy-Authorization
- e2guardian voit une nouvelle connexion et joue les plugins d’authentification
- Le plugin
proxy-ntlm
détecte l’entêteProxy-Authorization
et valide l’authentification - Le plugin
proxy-ntlm
détermine le groupe de filtrage basé sur le nom d’utilisateur (dans mon cas aucun) - Aucun autre plugin d’authentification n’est joué
- Le plugin
- e2guardian applique le filtrage déterminé par son groupe de filtrage (dans mon cas aucun)
- La connexion est transmise à squid et la connexion continue
Une machine client intégrée au domaine correspondant à un groupe de machine déclaré dans l’EAD¶
- Le navigateur se connecte à e2guardian
- e2guardian voit une une nouvelle connexion et joue les plugins d’authentification
- Le plugin
proxy-ntlm
ne détecte pas l’entêteProxy-Authorization
50241 -Not got persistent credentials for this connection - querying auth plugins 50241 -Querying next auth plugin... No auth negotiation currently in progress - making initial request persistent so that proxy will advertise NTLM
- Le plugin
proxy-basic
ne prend pas en charge la connexionAuth plugin did not find a match; querying remaining plugins 50241 -Querying next auth plugin...
- Le plugin
ip
trouve une correspondance entre l’IP de la station cliente et le groupe de machinesquash
et détermine le groupe de filtrage associé
- Le plugin
- e2guardian applique le filtrage déterminé par son groupe de filtrage →
interdit
bloque toutes les connexions
#7 Mis à jour par Joël Cuissinat il y a environ 7 ans
- Points de scénarios mis à 1.0
#8 Mis à jour par Scrum Master il y a environ 7 ans
- Statut changé de Nouveau à Terminé (Sprint)