Projet

Général

Profil

Scénario #32572

Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel

Ajouté par Fabrice Barconnière il y a presque 3 ans. Mis à jour il y a presque 3 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Philippe Caseiro
Catégorie:
-
Version cible:
Prestation Cadoles MEN 2021 23-25
Début:
03/05/2021
Echéance:
25/06/2021
% réalisé:

100%

Points de scénarios:
1.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.8.1
Liens avec la release:
Auto

Description

  • La navigation authentifiée (quelle que soit l'authentification) en mode sites interdits ou liste blanche n'est pas fonctionnelle.
    • L'utilisateur utilise bien le filtre qui lui est attribué dans l'EAD, on le voit dans les logs
    • Les sites restent accessibles malgré tout.
  • Également, sur un autre filtre (f6 par exemple, politique de filtrage 2 dans l'EAD2), la navigation sur astroo.com est toujours possible malgré l'activation du filtre sur la liste astrologie.
    • Le filtrage par liste est toutefois fonctionnel sur le mode Défaut (filtre f1)
  • Le mode modérateur ne fonctionne qu'en partie sur http
    • Le lien proposé sur la page de modération ne fonctionne pas
    • Il n'y a pas de page de modération pour les sites en https : "La connexion a échouée"

Les configurations des filtres (sauf f1 apparemment) est donc à revoir. Le traitement des filtres est fait dans un fichier story depuis la version e2guardian 5.
Il est fort probable que tous les cas n'ont pas été adaptés dans cette version - cf https://dev-eole.ac-dijon.fr/issues/30496

Critères d'acceptation

  • Le filtrage utilisateur sur le filtre Défaut fonctionne
  • Le filtrage utilisateur sur le filtre Modérateur fonctionne
  • Le filtrage utilisateur sur le filtre Sites interdits fonctionne
  • Le filtrage utilisateur sur le filtre liste blanche fonctionne
  • Le filtrage type MIME fonctionne sur tous les filtres (#32478)

Sous-tâches

Tâche #32718: Faire fonctionner le mode liste blancheFerméEmmanuel GARETTE

Tâche #32719: Un reload ne suffit pas pour recharger les "groupes de machine"FerméEmmanuel GARETTE

Tâche #32725: Le mode modérateurFerméEmmanuel GARETTE

Tâche #32726: Faire fonctionne le filtre DéfautFerméEmmanuel GARETTE

Tâche #32727: Faire fonctionner le mode filtre Sites interditsFerméEmmanuel GARETTE

Tâche #32752: TesterFerméBenjamin Bohard

Demandes liées

Lié à Distribution EOLE - Tâche #32809: Liste des cas de tests à repasser avec demandes associées Fermé 17/06/2021
Copié depuis Distribution EOLE - Tâche #32549: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel Fermé 03/05/2021

Historique

#1 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Copié depuis Tâche #32549: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel ajouté

#2 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Tracker changé de Tâche à Scénario
  • Echéance mis à 04/06/2021

#3 Mis à jour par Joël Cuissinat il y a presque 3 ans

  • Version cible changé de sprint 2021 20-22 Equipe MENSR à Prestation Cadoles MEN 2021 23-25
  • Release mis à EOLE 2.8.1
  • Points de scénarios mis à 1.0

#4 Mis à jour par Emmanuel GARETTE il y a presque 3 ans

  • Assigné à mis à Philippe Caseiro

#5 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Description mis à jour (diff)

#6 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Description mis à jour (diff)

#7 Mis à jour par Klaas TJEBBES il y a presque 3 ans

On ne peut tester le mode modérateur QUE sur les sites httP car la page d'interdiction ne s'affiche pas pour les requêtes httpS.
https://dev-eole.ac-dijon.fr/issues/19736

Il faut rechercher "http website" dans Google et vérifier qu'il n'y a pas de redirection httpS. Il faut faire les tests en navigation privée et fermer-réouvrir la fenêtre de navigation privée à chaque essaie. Si on a été sur le site de tets http en navigation NON-privée, le mieux est d'en trouver un autre pour éviter tout effet de bord, la purge de l'historique complet ne donnant pas toujours le résultat attendu.

Après quelques modifications pour vérifier d'où venait le problème, je suis arrivé à : Le mode modérateur dans e2guardian fonctionne normalement en mettant e2guardian en mode IP/PORT (et sans authentification du coup..). Il faut paramétrer les options :
dans guardian.conf :
"filterip =" (rien)
"proxyip = 127.0.0.1"
"proxyport = 3128"

dans guardianf2.conf :
"bypassversion = 2"
et copier guardianf2.conf sur guardianf0.conf

squid.conf :
"icap_enable off"

l'adresse IP du poste client dans "/etc/squid/src_noauth_user".

"iptables -I INPUT -p tcp --dport 9990 -j ACCEPT" puis dire au windows d'utiliser le port 9990 au lieu du 3128).

Par contre, le mode liste blanche (blanket bloc) ne fonctionne pas, c'est normal car il faut un fichier .story spécifique avec dedans, entre autre,
  1. To create blanket block for http
  2. uncomment next line and one condition line.
    function(checkblanketblock)
    if(true,,502) return setblock # = ** total blanket
    #if(siteisip,,505) return setblock # = *ip ip blanket

C'est le fichier .story qui détermine si on est en mode "blanket bloc" (tout bloquer sauf) ou en mode normal (tout autoriser sauf), donc on ne peut pas avoir le même fichier .story pour le mode liste blanche que pour les autres modes.

#8 Mis à jour par Emmanuel GARETTE il y a presque 3 ans

  • Statut changé de Nouveau à Résolu

#9 Mis à jour par Joël Cuissinat il y a presque 3 ans

  • Lié à Tâche #32809: Liste des cas de tests à repasser avec demandes associées ajouté

#10 Mis à jour par Joël Cuissinat il y a presque 3 ans

  • Statut changé de Résolu à En cours

#11 Mis à jour par Fabrice Barconnière il y a presque 3 ans

  • Statut changé de En cours à Terminé (Sprint)

Formats disponibles : Atom PDF