Project

General

Profile

Tâche #24569

Distribution EOLE - Scénario #28808: Assistance aux utilisateurs (36-38)

Problème d'authentification NTLM avec e2guardian

Added by Florian CHAPPUIS about 1 year ago. Updated 30 days ago.

Status:
En cours
Priority:
Normal
Assigned To:
Start date:
07/24/2018
Due date:
% Done:

0%

Remaining (hours):

Description

Bonjour,

Je rencontre un problème avec les composants proxy en EOLE2.6 (dernière version disponible à date).
Les tests ont été fait sur deux environnements (établissements) différents.
- Un migré depuis une version 2.3 puis 2.5.2
- Un installé directement en 2.6.2

Voici les sénarii testés:
- Poste utilisateur win7 => Proxy e2guardian 3128 => Proxy Squid 8080 (auth NTLM): KO
- Poste utilisateur win7 => Proxy e2guardian 3128 => Proxy Squid 8080 (@IP en exception d'authentification dans l'EAD): OK
- Poste utilisateur win7 => Proxy e2guardian 3129 => Proxy Squid 8081 (auth LDAP): OK
- Poste utilisateur win7 => Proxy Squid 3128 (auth NTLM): OK

Les composants utilisés sont:
- Squid 3.5.12-1ubuntu7.5
- e2guardian 4.1.5eole262-2
- winbind 2:4.3.11+dfsg-0ubuntu0.16.04.13
- IE8, Firefox 61, Firefox portable ESR45 (le problème est le même quelque soit le navigateur)

Les messages d'erreurs sur le navigateur sont "Connexion réinitialisée" pour du HTTP, Échec de la connexion sécurisée pour du HTTPs
Dans les logs de /var/log/rsyslog/local/e2guardian/e2guardian0.err.log

e2guardian0[1459]: NTLM - step 2 was not part of an auth handshake! (HTTP/1.1 200 Connection established#015)
e2guardian0[1459]: Auth plugin returned error code: -1

Je suppose donc que e2guardian bouffe les headers HTTP Proxy-Authorisation quelque part dans le processus de filtrage et fait échouer le challenge response NTLM entre Squid et le navigateur.

La ligne de commande suivante permet de visualiser les headers HTTP avec tcpdump:

stdbuf -oL -eL /usr/sbin/tcpdump -A -n -i any -s 10240 "tcp port 3128 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)" | egrep -a --line-buffered ".+(GET |HTTP\/|POST )|^[A-Za-z0-9-]+: " \
| perl -nle 'BEGIN{$|=1} { s/.*?(GET |HTTP\/[0-9.]* |POST )/\n$1/g; print }'

Le navigateur ne semble pas recevoir la réponse NTLM (step 2) de squid au travers de e2guardian.
Je ne sais pas si c'est un problème spécifique à EOLE ou plus général à Ubuntu. Je suis un peu au bout de mes investigations sur ce problème.

Merci d'avance pour votre aide sur ce point.

History

#1 Updated by Gilles Grandgérard 7 months ago

  • Assigned To set to Joël Cuissinat

#2 Updated by Joël Cuissinat 7 months ago

  • Parent task set to #26911

Bonjour,

J'imagine que vous avez bien enregistré l'Amon au domaine Samba : http://eole.ac-dijon.fr/documentations/2.6/completes/HTML/ModuleAmon/co/05-jonctionDomaine.html
La commande wbinfo -t est-elle OK dans les configurations à problème ?

La clé de registre indiquée dans la documentation est bien appliquée sur les stations ?

Je vous invite également à exposer votre problème à la communauté sur la liste de diffusion amon-sphynx.

Cordialement,

#3 Updated by Joël Cuissinat 7 months ago

  • Status changed from Nouveau to En cours

#4 Updated by Florian CHAPPUIS 7 months ago

Bonjour,

Oui le wbinfo -t est valide.
La clé de registre à été appliquée et validée par le test suivant:
- Poste utilisateur win7 => Proxy Squid 3128 (auth NTLM): OK

Cordialement,

#5 Updated by Joël Cuissinat 7 months ago

  • Parent task changed from #26911 to #26619

#6 Updated by Joël Cuissinat 6 months ago

  • Status changed from En cours to Nouveau
  • Assigned To deleted (Joël Cuissinat)
  • Parent task changed from #26619 to #27099

#8 Updated by Joël Cuissinat 5 months ago

  • Parent task changed from #27099 to #27876

#9 Updated by Joël Cuissinat 4 months ago

  • Status changed from Nouveau to En cours
  • Assigned To set to Joël Cuissinat

Relance par mail ;)

#10 Updated by Florian CHAPPUIS 4 months ago

Bonjour,

Cela ressemble effectivement beaucoup.

J'ai commencé à tester le patch proposé il y a quelques semaines, mais les premiers résultats ne semblent pas concluants.
Je n'ai pas eu le temps pour l'instant d'achever totalement les tests pour être sur de moi et vous faire un retour complet.

Cordialement,

#11 Updated by Gilles Grandgérard 4 months ago

  • Parent task changed from #27876 to #28342

#12 Updated by Joël Cuissinat 30 days ago

  • Parent task changed from #28342 to #28808

Also available in: Atom PDF