Project

General

Profile

Anomalie #272

Authentification ntlm/smb de postes hors domaines

Added by Ludovic Landucci about 11 years ago. Updated about 8 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
03/25/2010
Due date:
02/15/2013
% Done:

100%

Spent time:
Distribution:
EOLE 2.3

Description

Sur un poste hors domaine (windows xp sp2) avec authentification ntlm/smb aussi bien sur firefox que sur ie.
La fenêtre d'authentification s'affiche. Certains ne peuvent pas valider leur authentification (TCP_DENIED/407).
Nous avons testés avec les logins suivants (password simple identique pour chaque compte) :
- pedagodmz\user.tests > OK
pedagodmz\utilisateurtests > OK
pedagodmz\utilisateur.tests > NOK
pedagodmz\utilisateur-test > NOK
pedagodmz\utilisateur_test -> NOK

Il semblerait que les logins contenant 15 caractères (et plus) ET un ".","_" ou "-" ne puissent pas s'authentifier. Ces logins peuvent naviguer sans problèmes depuis un poste intégré au domaine.

Merci.

Nb : tests effectués avec un scribe.

cntlm.xml View - Dico cntlm (1.15 KB) Fabrice Barconnière, 10/18/2010 03:27 PM

cntlm - /etc/init.d/cntlm templatisé (2.96 KB) Fabrice Barconnière, 10/18/2010 03:30 PM

cntlm_preinst - preinstance (397 Bytes) Fabrice Barconnière, 10/18/2010 03:33 PM

cntlm_prerec - préreconf (397 Bytes) Fabrice Barconnière, 10/18/2010 03:33 PM

cntlm.conf View (2.07 KB) Emmanuel GARETTE, 02/11/2013 11:23 AM

00_cntlm.xml View (1.09 KB) Emmanuel GARETTE, 02/11/2013 11:23 AM


Related issues

Related to eole-cntlm - Evolution #4864: Projet eole-cntlm Fermé
Related to eole-reverseproxy - Anomalie #4865: Gestion de cntlm Fermé
Related to eole-dhcp - Anomalie #4866: Gestion de wpad pour les postes windows dans un autre domaine Fermé
Related to ERA - Anomalie #4870: Gérer l'ouverture du port Cntlm Fermé
Related to Documentations - Anomalie #4871: Documentation de Cntlm Fermé

Associated revisions

Revision d7a58ea2 (diff)
Added by Emmanuel GARETTE about 8 years ago

version préliminaire eole-cntlm (ref #272) @2

Revision ff516233 (diff)
Added by Emmanuel GARETTE about 8 years ago

ajout de la branche de packaging (fixes #272)

Revision f52cd252 (diff)
Added by Emmanuel GARETTE about 8 years ago

erreur dans le template (ref #272)

Revision 0c693e3d (diff)
Added by Emmanuel GARETTE about 8 years ago

service cntlm avec pty à False + ajout du diagnose (ref #272)

Revision 76ad3f43 (diff)
Added by Emmanuel GARETTE about 8 years ago

service cntlm avec pty à False + ajout du diagnose (ref #272)

Revision 03c590c6 (diff)
Added by Emmanuel GARETTE about 8 years ago

erreur dans le nom du template firewall (ref #272)

Revision 74234a6e (diff)
Added by Fabrice Barconnière about 8 years ago

tmpl/cntlm.conf : si mode non conteneur, ip_proxy = localhost
fixes #272 @10m

Revision bcec35df (diff)
Added by Fabrice Barconnière about 8 years ago

tmpl/cntlm.conf : si mode non conteneur, ip_proxy = adresse_ip_eth1
fixes #272 @10m

Revision f1d6f1ae (diff)
Added by Alexandre Delaunay over 5 years ago

review ticket timeline to permit reopen; see #272

History

#1 Updated by Ludovic Landucci about 11 years ago

Petite précision : en naviguant avec ce login depuis un autre poste du domaine, le poste hors domaine peut ensuite naviguer avec ce même login.

#2 Updated by Luc Bourdot almost 11 years ago

Cas isolé et non reproductible.

Est ce que c'est encore d'actualité sur l'établissement en question?

#3 Updated by Klaas TJEBBES over 10 years ago

Fabrice BARCONIÈRE me dit que le package "cntlm" résout son problème :
http://packages.ubuntu.com/fr/hardy/cntlm

Voir peut être pour l'intégrer sur Amon.

#4 Updated by Fabrice Barconnière over 10 years ago

En fait, cntlm ne résoud pas le problème, il le confirme. cntlm se comporte comme un poste hors domaine.

#5 Updated by Fabrice Barconnière over 10 years ago

#6 Updated by Fabrice Barconnière over 10 years ago

Il faut bien sur modifier le modèle era pour ouvrir le port d'écoute de cntlm.

#7 Updated by Fabrice Barconnière almost 9 years ago

  • Distribution set to EOLE 2.2

Fermé avec l'accord de Ludo.

#8 Updated by Fabrice Barconnière almost 9 years ago

  • Status changed from Nouveau to Fermé

#9 Updated by Emmanuel GARETTE about 8 years ago

  • File cntlm.conf View added
  • File 00_cntlm.xml View added
  • Due date set to 02/15/2013
  • Status changed from Fermé to Réouvert
  • Target version set to Mises à jour 2.3.8
  • Distribution changed from EOLE 2.2 to EOLE 2.3

Le problème existe aussi avec les 7 si on ne change pas des clefs de registre (ce qui est peu pratique).

CNTLM permet d'avoir un accès à internet sans a avoir de faire de modification.

Voici un dicos mise à jour correspondant à un AmonEcole. Il faudrait l'adapter pour le rendre compatible avec un Amon.

#10 Updated by Emmanuel GARETTE about 8 years ago

Il faut modifier le fichier wpad et les règles de firewall également.

#11 Updated by Joël Cuissinat about 8 years ago

  • Project changed from Amon to eole-cntlm

#12 Updated by Emmanuel GARETTE about 8 years ago

  • Status changed from Réouvert to Résolu
  • % Done changed from 0 to 100

#13 Updated by Joël Cuissinat about 8 years ago

  • Assigned To set to Fabrice Barconnière

#14 Updated by Joël Cuissinat about 8 years ago

  • Assigned To changed from Fabrice Barconnière to Emmanuel GARETTE

#15 Updated by Vincent Febvre about 8 years ago

Test effectué sur un AmonEcole 2.3 multi-établissement.
Les tests ont été effectués sur un poste sous Seven 32 bits et sur un poste xp SP3 hors domaine (sans installation/désinstallation de client scribe au préalable)

Test avec Firefox et Internet Explorer
  • présence d'une popup d'authentification en mettant la détection automatique du proxy
  • authentification réussie -> navigation normale

#16 Updated by Fabrice Barconnière about 8 years ago

  • Status changed from Résolu to Réouvert

Problème dans le template cntlm.conf sur un Amon non conteneur. L'adresse ip du proxy (variable %%proxy_link) n'est pas renseignée.

#17 Updated by Fabrice Barconnière about 8 years ago

  • Status changed from Réouvert to Résolu

#18 Updated by Fabrice Barconnière about 8 years ago

  • Status changed from Résolu to Réouvert

ntlm.conf : dans le cas NTLM/SMB,

Domain      %%nom_domaine_smb[0]

ne prend que la première lettre du nom de domaine
Domain      %%nom_domaine_smb

suffit pour prendre le premier domaine de la liste.

#19 Updated by Fabrice Barconnière about 8 years ago

  • Status changed from Réouvert to Résolu

#20 Updated by Fabrice Barconnière about 8 years ago

  • Status changed from Résolu to Fermé

OK sur Amon non conteneur.

Also available in: Atom PDF