Project

General

Profile

Scénario #32572

Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel

Added by Fabrice Barconnière 6 months ago. Updated 5 months ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
05/03/2021
Due date:
06/25/2021
% Done:

100%

Story points:
1.0
Remaining (hours):
0.00 hour
Velocity based estimate:
0 days
Release:
Release relationship:
Auto

Description

  • La navigation authentifiée (quelle que soit l'authentification) en mode sites interdits ou liste blanche n'est pas fonctionnelle.
    • L'utilisateur utilise bien le filtre qui lui est attribué dans l'EAD, on le voit dans les logs
    • Les sites restent accessibles malgré tout.
  • Également, sur un autre filtre (f6 par exemple, politique de filtrage 2 dans l'EAD2), la navigation sur astroo.com est toujours possible malgré l'activation du filtre sur la liste astrologie.
    • Le filtrage par liste est toutefois fonctionnel sur le mode Défaut (filtre f1)
  • Le mode modérateur ne fonctionne qu'en partie sur http
    • Le lien proposé sur la page de modération ne fonctionne pas
    • Il n'y a pas de page de modération pour les sites en https : "La connexion a échouée"

Les configurations des filtres (sauf f1 apparemment) est donc à revoir. Le traitement des filtres est fait dans un fichier story depuis la version e2guardian 5.
Il est fort probable que tous les cas n'ont pas été adaptés dans cette version - cf https://dev-eole.ac-dijon.fr/issues/30496

Critères d'acceptation

  • Le filtrage utilisateur sur le filtre Défaut fonctionne
  • Le filtrage utilisateur sur le filtre Modérateur fonctionne
  • Le filtrage utilisateur sur le filtre Sites interdits fonctionne
  • Le filtrage utilisateur sur le filtre liste blanche fonctionne
  • Le filtrage type MIME fonctionne sur tous les filtres (#32478)

Subtasks

Tâche #32718: Faire fonctionner le mode liste blancheFerméEmmanuel GARETTE

Tâche #32719: Un reload ne suffit pas pour recharger les "groupes de machine"FerméEmmanuel GARETTE

Tâche #32725: Le mode modérateurFerméEmmanuel GARETTE

Tâche #32726: Faire fonctionne le filtre DéfautFerméEmmanuel GARETTE

Tâche #32727: Faire fonctionner le mode filtre Sites interditsFerméEmmanuel GARETTE

Tâche #32752: TesterFerméBenjamin Bohard


Related issues

Related to Distribution EOLE - Tâche #32809: Liste des cas de tests à repasser avec demandes associées Fermé 06/17/2021
Copied from Distribution EOLE - Tâche #32549: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel Fermé 05/03/2021

History

#1 Updated by Fabrice Barconnière 6 months ago

  • Copied from Tâche #32549: Navigation authentifiée (NTLM/KERBEROS ou 2ème proxy sur LDAP HORUS) : interdiction globale (sites interdits) ou mode liste blanche non fonctionnel added

#2 Updated by Fabrice Barconnière 6 months ago

  • Tracker changed from Tâche to Scénario
  • Due date set to 06/04/2021

#3 Updated by Joël Cuissinat 6 months ago

  • Target version changed from sprint 2021 20-22 Equipe MENSR to Prestation Cadoles MEN 2021 23-25
  • Release set to EOLE 2.8.1
  • Story points set to 1.0

#4 Updated by Emmanuel GARETTE 6 months ago

  • Assigned To set to Philippe Caseiro

#5 Updated by Fabrice Barconnière 6 months ago

  • Description updated (diff)

#6 Updated by Fabrice Barconnière 6 months ago

  • Description updated (diff)

#7 Updated by Klaas TJEBBES 6 months ago

On ne peut tester le mode modérateur QUE sur les sites httP car la page d'interdiction ne s'affiche pas pour les requêtes httpS.
https://dev-eole.ac-dijon.fr/issues/19736

Il faut rechercher "http website" dans Google et vérifier qu'il n'y a pas de redirection httpS. Il faut faire les tests en navigation privée et fermer-réouvrir la fenêtre de navigation privée à chaque essaie. Si on a été sur le site de tets http en navigation NON-privée, le mieux est d'en trouver un autre pour éviter tout effet de bord, la purge de l'historique complet ne donnant pas toujours le résultat attendu.

Après quelques modifications pour vérifier d'où venait le problème, je suis arrivé à : Le mode modérateur dans e2guardian fonctionne normalement en mettant e2guardian en mode IP/PORT (et sans authentification du coup..). Il faut paramétrer les options :
dans guardian.conf :
"filterip =" (rien)
"proxyip = 127.0.0.1"
"proxyport = 3128"

dans guardianf2.conf :
"bypassversion = 2"
et copier guardianf2.conf sur guardianf0.conf

squid.conf :
"icap_enable off"

l'adresse IP du poste client dans "/etc/squid/src_noauth_user".

"iptables -I INPUT -p tcp --dport 9990 -j ACCEPT" puis dire au windows d'utiliser le port 9990 au lieu du 3128).

Par contre, le mode liste blanche (blanket bloc) ne fonctionne pas, c'est normal car il faut un fichier .story spécifique avec dedans, entre autre,
  1. To create blanket block for http
  2. uncomment next line and one condition line.
    function(checkblanketblock)
    if(true,,502) return setblock # = ** total blanket
    #if(siteisip,,505) return setblock # = *ip ip blanket

C'est le fichier .story qui détermine si on est en mode "blanket bloc" (tout bloquer sauf) ou en mode normal (tout autoriser sauf), donc on ne peut pas avoir le même fichier .story pour le mode liste blanche que pour les autres modes.

#8 Updated by Emmanuel GARETTE 6 months ago

  • Status changed from Nouveau to Résolu

#9 Updated by Joël Cuissinat 6 months ago

  • Related to Tâche #32809: Liste des cas de tests à repasser avec demandes associées added

#10 Updated by Joël Cuissinat 6 months ago

  • Status changed from Résolu to En cours

#11 Updated by Fabrice Barconnière 5 months ago

  • Status changed from En cours to Terminé (Sprint)

Also available in: Atom PDF