Tâche #24569
Distribution EOLE - Scénario #28975: Assistance aux utilisateurs (39-41)
Problème d'authentification NTLM avec e2guardian
100%
Description
Bonjour,
Je rencontre un problème avec les composants proxy en EOLE2.6 (dernière version disponible à date).
Les tests ont été fait sur deux environnements (établissements) différents.
- Un migré depuis une version 2.3 puis 2.5.2
- Un installé directement en 2.6.2
Voici les sénarii testés:
- Poste utilisateur win7 => Proxy e2guardian 3128 => Proxy Squid 8080 (auth NTLM): KO
- Poste utilisateur win7 => Proxy e2guardian 3128 => Proxy Squid 8080 (@IP en exception d'authentification dans l'EAD): OK
- Poste utilisateur win7 => Proxy e2guardian 3129 => Proxy Squid 8081 (auth LDAP): OK
- Poste utilisateur win7 => Proxy Squid 3128 (auth NTLM): OK
Les composants utilisés sont:
- Squid 3.5.12-1ubuntu7.5
- e2guardian 4.1.5eole262-2
- winbind 2:4.3.11+dfsg-0ubuntu0.16.04.13
- IE8, Firefox 61, Firefox portable ESR45 (le problème est le même quelque soit le navigateur)
Les messages d'erreurs sur le navigateur sont "Connexion réinitialisée" pour du HTTP, Échec de la connexion sécurisée pour du HTTPs
Dans les logs de /var/log/rsyslog/local/e2guardian/e2guardian0.err.log
e2guardian0[1459]: NTLM - step 2 was not part of an auth handshake! (HTTP/1.1 200 Connection established#015) e2guardian0[1459]: Auth plugin returned error code: -1
Je suppose donc que e2guardian bouffe les headers HTTP Proxy-Authorisation quelque part dans le processus de filtrage et fait échouer le challenge response NTLM entre Squid et le navigateur.
La ligne de commande suivante permet de visualiser les headers HTTP avec tcpdump:
stdbuf -oL -eL /usr/sbin/tcpdump -A -n -i any -s 10240 "tcp port 3128 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" | egrep -a --line-buffered ".+(GET |HTTP\/|POST )|^[A-Za-z0-9-]+: " \
| perl -nle 'BEGIN{$|=1} { s/.*?(GET |HTTP\/[0-9.]* |POST )/\n$1/g; print }'
Le navigateur ne semble pas recevoir la réponse NTLM (step 2) de squid au travers de e2guardian.
Je ne sais pas si c'est un problème spécifique à EOLE ou plus général à Ubuntu. Je suis un peu au bout de mes investigations sur ce problème.
Merci d'avance pour votre aide sur ce point.
Historique
#1 Mis à jour par Gilles Grandgérard il y a environ 5 ans
- Assigné à mis à Joël Cuissinat
#2 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Tâche parente mis à #26911
Bonjour,
J'imagine que vous avez bien enregistré l'Amon au domaine Samba : http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleAmon/co/05-jonctionDomaine.html
La commande wbinfo -t est-elle OK dans les configurations à problème ?
La clé de registre indiquée dans la documentation est bien appliquée sur les stations ?
Je vous invite également à exposer votre problème à la communauté sur la liste de diffusion amon-sphynx.
Cordialement,
#3 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Florian CHAPPUIS il y a environ 5 ans
Bonjour,
Oui le wbinfo -t est valide.
La clé de registre à été appliquée et validée par le test suivant:
- Poste utilisateur win7 => Proxy Squid 3128 (auth NTLM): OK
Cordialement,
#5 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Tâche parente changé de #26911 à #26619
#6 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Statut changé de En cours à Nouveau
- Assigné à
Joël Cuissinatsupprimé - Tâche parente changé de #26619 à #27099
#7 Mis à jour par Emmanuel GARETTE il y a environ 5 ans
Ca ressemble à https://dev-eole.ac-dijon.fr/issues/25884#note-2 non ?
#8 Mis à jour par Joël Cuissinat il y a environ 5 ans
- Tâche parente changé de #27099 à #27876
#9 Mis à jour par Joël Cuissinat il y a presque 5 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Joël Cuissinat
Relance par mail ;)
#10 Mis à jour par Florian CHAPPUIS il y a presque 5 ans
Bonjour,
Cela ressemble effectivement beaucoup.
J'ai commencé à tester le patch proposé il y a quelques semaines, mais les premiers résultats ne semblent pas concluants.
Je n'ai pas eu le temps pour l'instant d'achever totalement les tests pour être sur de moi et vous faire un retour complet.
Cordialement,
#11 Mis à jour par Gilles Grandgérard il y a presque 5 ans
- Tâche parente changé de #27876 à #28342
#12 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Tâche parente changé de #28342 à #28808
#13 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Tâche parente changé de #28808 à #28975
#14 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de En cours à Fermé
- % réalisé changé de 0 à 100
- Restant à faire (heures) mis à 0.0