Project

General

Profile

Tâche #32549

Scénario #32415: Amon 2.8.1rc1 : la navigation proxy authentifiée 2 avec filtrage par utilisateur n'est pas fonctionnelle (LDAP)

Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel

Added by Fabrice Barconnière over 2 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Fabrice Barconnière
Target version:
sprint 2021 20-22 Equipe MENSR
Start date:
05/03/2021
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

  • La navigation authentifiée (quelle que soit l'authentification) en mode sites interdits ou liste blanche n'est pas fonctionnelle.
    • L'utilisateur utilise bien le filtre qui lui est attribué dans l'EAD, on le voit dans les logs
    • Les sites restent accessibles malgré tout.
  • Également, sur un autre filtre (f6 par exemple, politique de filtrage 2 dans l'EAD2), la navigation sur astroo.com est toujours possible malgré l'activation du filtre sur la liste astrologie.
    • Le filtrage par liste est toutefois fonctionnel sur le mode Défaut (filtre f1)

Les configurations des filtres (sauf f1 apparemment) est donc à revoir. Le traitement des filtres est fait dans un fichier story depuis la version e2guardian 5.
Il est fort probable que tous les cas n'ont pas été adaptés dans cette version - cf https://dev-eole.ac-dijon.fr/issues/30496

Related issues

Copied to Distribution EOLE - Scénario #32572: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel Terminé (Sprint) 05/03/2021 06/25/2021

History

#1 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Fabrice Barconnière over 2 years ago

  • PROXY-T15-004 : https://dev-eole.ac-dijon.fr/squash/executions/12555
    • Pas 3 : Lien modérateur également refusé
    • Pas 5 : Navigation toujours possible en mode utilisateur interdit
    • Pas 8 : Navigation toujours possible en mode liste blanche
    • Pas 13 : Le site astroo.com s'affiche malgré l'activation du filtre astrologie

#3 Updated by Fabrice Barconnière over 2 years ago

  • Subject changed from Repasser les tests pour étudier le problème to Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel
  • Description updated (diff)

#4 Updated by Fabrice Barconnière over 2 years ago

  • Description updated (diff)

#5 Updated by Fabrice Barconnière over 2 years ago

  • Description updated (diff)

#6 Updated by Fabrice Barconnière over 2 years ago

  • Description updated (diff)

#7 Updated by Fabrice Barconnière over 2 years ago

  • Description updated (diff)

#8 Updated by Fabrice Barconnière over 2 years ago

  • Copied to Scénario #32572: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel added

#9 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100

Scénario Cadoles pour corriger le problème

#10 Updated by Klaas TJEBBES over 2 years ago

On ne peut tester le mode modérateur QUE sur les sites httP car la page d'interdiction ne s'affiche pas pour les requêtes httpS.
https://dev-eole.ac-dijon.fr/issues/19736

Il faut rechercher "http website" dans Google et vérifier qu'il n'y a pas de redirection httpS. Il faut faire les tests en navigation privée et fermer-réouvrir la fenêtre de navigation privée à chaque essaie. Si on a été sur le site de tets http en navigation NON-privée, le mieux est d'en trouver un autre pour éviter tout effet de bord, la purge de l'historique complet ne donnant pas toujours le résultat attendu.

En mode ICAP le mode modérateur fonctionne mais met plusieurs dizaines de secondes à afficher le site.

Le mode modérateur dans e2guardian fonctionne normalement en mettant e2guardian en mode IP/PORT (et sans authentification du coup..). Il faut paramétrer les options :
dans guardian.conf :
"filterip =" (rien)
"proxyip = 127.0.0.1"
"proxyport = 3128"

dans guardianf2.conf :
"bypassversion = 2"
et copier guardianf2.conf sur guardianf0.conf

squid.conf :
"icap_enable off"

l'adresse IP du poste client dans "/etc/squid/src_noauth_user".

"iptables -I INPUT -p tcp --dport 9990 -j ACCEPT" puis dire au windows d'utiliser le port 9990 au lieu du 3128).

Par contre, le mode liste blanche (blanket bloc) ne fonctionne pas, c'est normal car il faut un fichier .story spécifique avec dedans, entre autre,
  1. To create blanket block for http
  2. uncomment next line and one condition line.
    function(checkblanketblock)
    if(true,,502) return setblock # = ** total blanket
    #if(siteisip,,505) return setblock # = *ip ip blanket

C'est le fichier .story qui détermine si on est en mode "blanket bloc" (tout bloquer sauf) ou en mode normal (tout autoriser sauf), donc on ne peut pas avoir le même fichier .story pour le mode liste blanche que pour les autres modes.

#11 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF