Projet

Général

Profil

Tâche #32549

Scénario #32415: Amon 2.8.1rc1 : la navigation proxy authentifiée 2 avec filtrage par utilisateur n'est pas fonctionnelle (LDAP)

Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel

Ajouté par Fabrice Barconnière il y a presque 3 ans. Mis à jour il y a presque 3 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Fabrice Barconnière
Version cible:
sprint 2021 20-22 Equipe MENSR
Début:
03/05/2021
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

  • La navigation authentifiée (quelle que soit l'authentification) en mode sites interdits ou liste blanche n'est pas fonctionnelle.
    • L'utilisateur utilise bien le filtre qui lui est attribué dans l'EAD, on le voit dans les logs
    • Les sites restent accessibles malgré tout.
  • Également, sur un autre filtre (f6 par exemple, politique de filtrage 2 dans l'EAD2), la navigation sur astroo.com est toujours possible malgré l'activation du filtre sur la liste astrologie.
    • Le filtrage par liste est toutefois fonctionnel sur le mode Défaut (filtre f1)

Les configurations des filtres (sauf f1 apparemment) est donc à revoir. Le traitement des filtres est fait dans un fichier story depuis la version e2guardian 5.
Il est fort probable que tous les cas n'ont pas été adaptés dans cette version - cf https://dev-eole.ac-dijon.fr/issues/30496

Demandes liées

Copié vers Distribution EOLE - Scénario #32572: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel Terminé (Sprint) 03/05/2021 25/06/2021

Historique

#1 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Statut changé de Nouveau à En cours

#2 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • PROXY-T15-004 : https://dev-eole.ac-dijon.fr/squash/executions/12555
    • Pas 3 : Lien modérateur également refusé
    • Pas 5 : Navigation toujours possible en mode utilisateur interdit
    • Pas 8 : Navigation toujours possible en mode liste blanche
    • Pas 13 : Le site astroo.com s'affiche malgré l'activation du filtre astrologie

#3 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Sujet changé de Repasser les tests pour étudier le problème à Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel
  • Description mis à jour (diff)

#4 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Description mis à jour (diff)

#5 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Description mis à jour (diff)

#6 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Description mis à jour (diff)

#7 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Description mis à jour (diff)

#8 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Copié vers Scénario #32572: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel ajouté

#9 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 0 à 100

Scénario Cadoles pour corriger le problème

#10 Mis à jour par Klaas TJEBBES il y a presque 3 ans

On ne peut tester le mode modérateur QUE sur les sites httP car la page d'interdiction ne s'affiche pas pour les requêtes httpS.
https://dev-eole.ac-dijon.fr/issues/19736

Il faut rechercher "http website" dans Google et vérifier qu'il n'y a pas de redirection httpS. Il faut faire les tests en navigation privée et fermer-réouvrir la fenêtre de navigation privée à chaque essaie. Si on a été sur le site de tets http en navigation NON-privée, le mieux est d'en trouver un autre pour éviter tout effet de bord, la purge de l'historique complet ne donnant pas toujours le résultat attendu.

En mode ICAP le mode modérateur fonctionne mais met plusieurs dizaines de secondes à afficher le site.

Le mode modérateur dans e2guardian fonctionne normalement en mettant e2guardian en mode IP/PORT (et sans authentification du coup..). Il faut paramétrer les options :
dans guardian.conf :
"filterip =" (rien)
"proxyip = 127.0.0.1"
"proxyport = 3128"

dans guardianf2.conf :
"bypassversion = 2"
et copier guardianf2.conf sur guardianf0.conf

squid.conf :
"icap_enable off"

l'adresse IP du poste client dans "/etc/squid/src_noauth_user".

"iptables -I INPUT -p tcp --dport 9990 -j ACCEPT" puis dire au windows d'utiliser le port 9990 au lieu du 3128).

Par contre, le mode liste blanche (blanket bloc) ne fonctionne pas, c'est normal car il faut un fichier .story spécifique avec dedans, entre autre,
  1. To create blanket block for http
  2. uncomment next line and one condition line.
    function(checkblanketblock)
    if(true,,502) return setblock # = ** total blanket
    #if(siteisip,,505) return setblock # = *ip ip blanket

C'est le fichier .story qui détermine si on est en mode "blanket bloc" (tout bloquer sauf) ou en mode normal (tout autoriser sauf), donc on ne peut pas avoir le même fichier .story pour le mode liste blanche que pour les autres modes.

#11 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF