Projet

Général

Profil

Anomalie #272

Authentification ntlm/smb de postes hors domaines

Ajouté par Ludovic Landucci il y a environ 14 ans. Mis à jour il y a environ 11 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Emmanuel GARETTE
Catégorie:
-
Version cible:
Distribution EOLE - Mises à jour 2.3.8
Début:
25/03/2010
Echéance:
15/02/2013
% réalisé:

100%

Temps passé:
0.67 h
Distribution:
EOLE 2.3

Description

Sur un poste hors domaine (windows xp sp2) avec authentification ntlm/smb aussi bien sur firefox que sur ie.
La fenêtre d'authentification s'affiche. Certains ne peuvent pas valider leur authentification (TCP_DENIED/407).
Nous avons testés avec les logins suivants (password simple identique pour chaque compte) :
- pedagodmz\user.tests > OK
 pedagodmz\utilisateurtests > OK
 pedagodmz\utilisateur.tests > NOK
 pedagodmz\utilisateur-test > NOK
 pedagodmz\utilisateur_test -> NOK

Il semblerait que les logins contenant 15 caractères (et plus) ET un ".","_" ou "-" ne puissent pas s'authentifier. Ces logins peuvent naviguer sans problèmes depuis un poste intégré au domaine.

Merci.

Nb : tests effectués avec un scribe.

cntlm.xml Voir - Dico cntlm (1,15 ko) Fabrice Barconnière, 18/10/2010 15:27

cntlm - /etc/init.d/cntlm templatisé (2,96 ko) Fabrice Barconnière, 18/10/2010 15:30

cntlm_preinst - preinstance (397 octets) Fabrice Barconnière, 18/10/2010 15:33

cntlm_prerec - préreconf (397 octets) Fabrice Barconnière, 18/10/2010 15:33

cntlm.conf Voir (2,07 ko) Emmanuel GARETTE, 11/02/2013 11:23

00_cntlm.xml Voir (1,09 ko) Emmanuel GARETTE, 11/02/2013 11:23

Demandes liées

Lié à eole-cntlm - Evolution #4864: Projet eole-cntlm Fermé
Lié à eole-reverseproxy - Anomalie #4865: Gestion de cntlm Fermé
Lié à eole-dhcp - Anomalie #4866: Gestion de wpad pour les postes windows dans un autre domaine Fermé
Lié à ERA - Anomalie #4870: Gérer l'ouverture du port Cntlm Fermé
Lié à Documentations - Anomalie #4871: Documentation de Cntlm Fermé

Révisions associées

Révision d7a58ea2 (diff)
Ajouté par Emmanuel GARETTE il y a environ 11 ans

version préliminaire eole-cntlm (ref #272) @2

Révision ff516233 (diff)
Ajouté par Emmanuel GARETTE il y a environ 11 ans

ajout de la branche de packaging (fixes #272)

Révision f52cd252 (diff)
Ajouté par Emmanuel GARETTE il y a environ 11 ans

erreur dans le template (ref #272)

Révision 0c693e3d (diff)
Ajouté par Emmanuel GARETTE il y a environ 11 ans

service cntlm avec pty à False + ajout du diagnose (ref #272)

Révision 76ad3f43 (diff)
Ajouté par Emmanuel GARETTE il y a environ 11 ans

service cntlm avec pty à False + ajout du diagnose (ref #272)

Révision 03c590c6 (diff)
Ajouté par Emmanuel GARETTE il y a environ 11 ans

erreur dans le nom du template firewall (ref #272)

Révision 74234a6e (diff)
Ajouté par Fabrice Barconnière il y a environ 11 ans

tmpl/cntlm.conf : si mode non conteneur, ip_proxy = localhost
fixes #272 @10m

Révision bcec35df (diff)
Ajouté par Fabrice Barconnière il y a environ 11 ans

tmpl/cntlm.conf : si mode non conteneur, ip_proxy = adresse_ip_eth1
fixes #272 @10m

Révision f1d6f1ae (diff)
Ajouté par Alexandre Delaunay il y a plus de 8 ans

review ticket timeline to permit reopen; see #272

Historique

#1 Mis à jour par Ludovic Landucci il y a environ 14 ans

Petite précision : en naviguant avec ce login depuis un autre poste du domaine, le poste hors domaine peut ensuite naviguer avec ce même login.

#2 Mis à jour par Luc Bourdot il y a presque 14 ans

Cas isolé et non reproductible.

Est ce que c'est encore d'actualité sur l'établissement en question?

#3 Mis à jour par Klaas TJEBBES il y a plus de 13 ans

Fabrice BARCONIÈRE me dit que le package "cntlm" résout son problème :
http://packages.ubuntu.com/fr/hardy/cntlm

Voir peut être pour l'intégrer sur Amon.

#4 Mis à jour par Fabrice Barconnière il y a plus de 13 ans

En fait, cntlm ne résoud pas le problème, il le confirme. cntlm se comporte comme un poste hors domaine.

#5 Mis à jour par Fabrice Barconnière il y a plus de 13 ans

#6 Mis à jour par Fabrice Barconnière il y a plus de 13 ans

Il faut bien sur modifier le modèle era pour ouvrir le port d'écoute de cntlm.

#7 Mis à jour par Fabrice Barconnière il y a environ 12 ans

  • Distribution mis à EOLE 2.2

Fermé avec l'accord de Ludo.

#8 Mis à jour par Fabrice Barconnière il y a environ 12 ans

  • Statut changé de Nouveau à Fermé

#9 Mis à jour par Emmanuel GARETTE il y a environ 11 ans

  • Fichier cntlm.conf Voir ajouté
  • Fichier 00_cntlm.xml Voir ajouté
  • Echéance mis à 15/02/2013
  • Statut changé de Fermé à À valider
  • Version cible mis à Mises à jour 2.3.8
  • Distribution changé de EOLE 2.2 à EOLE 2.3

Le problème existe aussi avec les 7 si on ne change pas des clefs de registre (ce qui est peu pratique).

CNTLM permet d'avoir un accès à internet sans a avoir de faire de modification.

Voici un dicos mise à jour correspondant à un AmonEcole. Il faudrait l'adapter pour le rendre compatible avec un Amon.

#10 Mis à jour par Emmanuel GARETTE il y a environ 11 ans

Il faut modifier le fichier wpad et les règles de firewall également.

#11 Mis à jour par Joël Cuissinat il y a environ 11 ans

  • Projet changé de Amon à eole-cntlm

#12 Mis à jour par Emmanuel GARETTE il y a environ 11 ans

  • Statut changé de À valider à Résolu
  • % réalisé changé de 0 à 100

#13 Mis à jour par Joël Cuissinat il y a environ 11 ans

  • Assigné à mis à Fabrice Barconnière

#14 Mis à jour par Joël Cuissinat il y a environ 11 ans

  • Assigné à changé de Fabrice Barconnière à Emmanuel GARETTE

#15 Mis à jour par Vincent Febvre il y a environ 11 ans

Test effectué sur un AmonEcole 2.3 multi-établissement.
Les tests ont été effectués sur un poste sous Seven 32 bits et sur un poste xp SP3 hors domaine (sans installation/désinstallation de client scribe au préalable)

Test avec Firefox et Internet Explorer
  • présence d'une popup d'authentification en mettant la détection automatique du proxy
  • authentification réussie -> navigation normale

#16 Mis à jour par Fabrice Barconnière il y a environ 11 ans

  • Statut changé de Résolu à À valider

Problème dans le template cntlm.conf sur un Amon non conteneur. L'adresse ip du proxy (variable %%proxy_link) n'est pas renseignée.

#17 Mis à jour par Fabrice Barconnière il y a environ 11 ans

  • Statut changé de À valider à Résolu

#18 Mis à jour par Fabrice Barconnière il y a environ 11 ans

  • Statut changé de Résolu à À valider

ntlm.conf : dans le cas NTLM/SMB,

Domain      %%nom_domaine_smb[0]

ne prend que la première lettre du nom de domaine
Domain      %%nom_domaine_smb

suffit pour prendre le premier domaine de la liste.

#19 Mis à jour par Fabrice Barconnière il y a environ 11 ans

  • Statut changé de À valider à Résolu

#20 Mis à jour par Fabrice Barconnière il y a environ 11 ans

  • Statut changé de Résolu à Fermé

OK sur Amon non conteneur.

Formats disponibles : Atom PDF