Anomalie #272
Authentification ntlm/smb de postes hors domaines
Description
Sur un poste hors domaine (windows xp sp2) avec authentification ntlm/smb aussi bien sur firefox que sur ie.
La fenêtre d'authentification s'affiche. Certains ne peuvent pas valider leur authentification (TCP_DENIED/407).
Nous avons testés avec les logins suivants (password simple identique pour chaque compte) :
- pedagodmz\user.tests > OK pedagodmz\utilisateurtests > OK pedagodmz\utilisateur.tests > NOK pedagodmz\utilisateur-test > NOK pedagodmz\utilisateur_test -> NOK
Il semblerait que les logins contenant 15 caractères (et plus) ET un ".","_" ou "-" ne puissent pas s'authentifier. Ces logins peuvent naviguer sans problèmes depuis un poste intégré au domaine.
Merci.
Nb : tests effectués avec un scribe.
Demandes liées
Révisions associées
version préliminaire eole-cntlm (ref #272) @2
ajout de la branche de packaging (fixes #272)
erreur dans le template (ref #272)
service cntlm avec pty à False + ajout du diagnose (ref #272)
service cntlm avec pty à False + ajout du diagnose (ref #272)
erreur dans le nom du template firewall (ref #272)
tmpl/cntlm.conf : si mode non conteneur, ip_proxy = localhost
fixes #272 @10m
tmpl/cntlm.conf : si mode non conteneur, ip_proxy = adresse_ip_eth1
fixes #272 @10m
review ticket timeline to permit reopen; see #272
Historique
#1 Mis à jour par Ludovic Landucci il y a environ 14 ans
Petite précision : en naviguant avec ce login depuis un autre poste du domaine, le poste hors domaine peut ensuite naviguer avec ce même login.
#2 Mis à jour par Luc Bourdot il y a presque 14 ans
Cas isolé et non reproductible.
Est ce que c'est encore d'actualité sur l'établissement en question?
#3 Mis à jour par Klaas TJEBBES il y a plus de 13 ans
Fabrice BARCONIÈRE me dit que le package "cntlm" résout son problème :
http://packages.ubuntu.com/fr/hardy/cntlm
Voir peut être pour l'intégrer sur Amon.
#4 Mis à jour par Fabrice Barconnière il y a plus de 13 ans
En fait, cntlm ne résoud pas le problème, il le confirme. cntlm se comporte comme un poste hors domaine.
#5 Mis à jour par Fabrice Barconnière il y a plus de 13 ans
- Fichier cntlm ajouté
#6 Mis à jour par Fabrice Barconnière il y a plus de 13 ans
- Fichier cntlm_preinst ajouté
- Fichier cntlm_prerec ajouté
Il faut bien sur modifier le modèle era pour ouvrir le port d'écoute de cntlm.
#7 Mis à jour par Fabrice Barconnière il y a environ 12 ans
- Distribution mis à EOLE 2.2
Fermé avec l'accord de Ludo.
#8 Mis à jour par Fabrice Barconnière il y a environ 12 ans
- Statut changé de Nouveau à Fermé
#9 Mis à jour par Emmanuel GARETTE il y a environ 11 ans
- Fichier cntlm.conf Voir ajouté
- Fichier 00_cntlm.xml Voir ajouté
- Echéance mis à 15/02/2013
- Statut changé de Fermé à À valider
- Version cible mis à Mises à jour 2.3.8
- Distribution changé de EOLE 2.2 à EOLE 2.3
Le problème existe aussi avec les 7 si on ne change pas des clefs de registre (ce qui est peu pratique).
CNTLM permet d'avoir un accès à internet sans a avoir de faire de modification.
Voici un dicos mise à jour correspondant à un AmonEcole. Il faudrait l'adapter pour le rendre compatible avec un Amon.
#10 Mis à jour par Emmanuel GARETTE il y a environ 11 ans
Il faut modifier le fichier wpad et les règles de firewall également.
#11 Mis à jour par Joël Cuissinat il y a environ 11 ans
- Projet changé de Amon à eole-cntlm
#12 Mis à jour par Emmanuel GARETTE il y a environ 11 ans
- Statut changé de À valider à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit ff516233e1ffd620ceecf260da1dbcd516c839a9.
#13 Mis à jour par Joël Cuissinat il y a environ 11 ans
- Assigné à mis à Fabrice Barconnière
#14 Mis à jour par Joël Cuissinat il y a environ 11 ans
- Assigné à changé de Fabrice Barconnière à Emmanuel GARETTE
#15 Mis à jour par Vincent Febvre il y a environ 11 ans
Test effectué sur un AmonEcole 2.3 multi-établissement.
Les tests ont été effectués sur un poste sous Seven 32 bits et sur un poste xp SP3 hors domaine (sans installation/désinstallation de client scribe au préalable)
- présence d'une popup d'authentification en mettant la détection automatique du proxy
- authentification réussie -> navigation normale
#16 Mis à jour par Fabrice Barconnière il y a environ 11 ans
- Statut changé de Résolu à À valider
Problème dans le template cntlm.conf sur un Amon non conteneur. L'adresse ip du proxy (variable %%proxy_link) n'est pas renseignée.
#17 Mis à jour par Fabrice Barconnière il y a environ 11 ans
- Statut changé de À valider à Résolu
Appliqué par commit 74234a6ee26ce9fcd5eaff5cb50f619440b80426.
#18 Mis à jour par Fabrice Barconnière il y a environ 11 ans
- Statut changé de Résolu à À valider
ntlm.conf : dans le cas NTLM/SMB,
Domain %%nom_domaine_smb[0]
ne prend que la première lettre du nom de domaine
Domain %%nom_domaine_smb
suffit pour prendre le premier domaine de la liste.
#19 Mis à jour par Fabrice Barconnière il y a environ 11 ans
- Statut changé de À valider à Résolu
Appliqué par commit bcec35dfd1fc2f1fcdbefb4858cb81eca72630b8.
#20 Mis à jour par Fabrice Barconnière il y a environ 11 ans
- Statut changé de Résolu à Fermé
OK sur Amon non conteneur.