Tâche #6950
eole-wpad - Scénario #13736: Gestion des sites déclarés en exception d'authentification avec cNTLM
wpad + CNTLM : les sites non authentifié ne devrait pas passer par 3127 mais 3128
Description
Il serait pratique que wpad prenne en compte les sites "noauth" de squid et rediriger les requêtes de proxy vers 3128 au lieu de 3127.
En effet, via CNTML l'authentification est obligatoire même si le site n'est pas authentifié (gênant notamment pour les mises à jours).
Cela donnerait quelque chose comme cela :
function FindProxyForURL(url, host) { if ( isInNet(host, "127.0.0.1", "255.255.255.255") || isInNet(host, "192.168.1.0", "255.255.255.0") ) { return "DIRECT"; }; if ( dnsDomainIs(host, ".windowsupdate.com") || dnsDomainIs(host, ".microsoft.com") || dnsDomainIs(host, "blogs.technet.com") || dnsDomainIs(host, ".microsoftonline.com") || dnsDomainIs(host, ".livemeeting.com") || dnsDomainIs(host, ".oracle.com") || dnsDomainIs(host, ".javafx.com") || dnsDomainIs(host, ".java.com") || dnsDomainIs(host, ".sun.com") || dnsDomainIs(host, ".eoleng.ac-dijon.fr") || dnsDomainIs(host, ".ftp.crihan.fr") || dnsDomainIs(host, ".archive.canonical.com") || dnsDomainIs(host, ".ubuntu.com") || dnsDomainIs(host, ".database.clamav.net") || dnsDomainIs(host, ".pool.ntp.org") || dnsDomainIs(host, ".services.openoffice.org") || dnsDomainIs(host, ".wustat.windows.com") || dnsDomainIs(host, ".pack.google.com")) { return "PROXY 192.168.1.2:3128"; }; return "PROXY 192.168.1.2:3127"; }
Demandes liées
Révisions associées
ajout des variables proxy_noauth et proxy_noauth_auto utilisé par le proxy et wpad (ref #6950 @1h)
utilisation des variables proxy_noauth_* (ref #6950 @1h)
utilisation des variables proxy_noauth_* (ref #6950 @1h)
utilisation des variables proxy_noauth_* (ref #6950 @1h)
meilleurs support de proxy_noauth (ref #6950 @1h)
Les domaines commençants par un "." sont mal gérés (ref #6950 @1h)
Par exemple : .ac-dijon.fr n'est pas géré pareil par squid et wpad.
ac-dijon.fr et www.ac-dijon.fr sont autorisés par squid, mais seul www.ac-dijon.fr l'est pour wpad.
Si le domaine commence par un ".", les 2 domaines sont maintenant autorisé.
gérer correctement les domaines commençant par un . (ref #6950 @1h)
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 10 ans
- Sujet changé de wpad + CNTLM : les sites non authentifié ne devrait pas passé par 3127 mais 3128 à wpad + CNTLM : les sites non authentifié ne devrait pas passer par 3127 mais 3128
- Statut changé de Nouveau à A étudier
- Version cible mis à Mises à jour 2.3.12
#2 Mis à jour par Joël Cuissinat il y a plus de 10 ans
Pour le plaisir, voici une proposition de code...
%def special_join(%%dnsdomain) %return ' ||\n'.join(%%dnsdomain) %end def %set %%sites = file('/etc/squid/domaines_noauth').read() %set %%dnsdomain = [] %for %%site in %%sites.split('\n') %if %%site != '' %%dnsdomain.append(' dnsDomainIs(host, "'+%%site+'")')%slurp %end if %end for %%special_join(%%dnsdomain)Par contre, il reste quelques restrictions :
- il faut que /etc/squid/domaines_noauth soit impérativement instancié avant
- les sites "domaines_noauth_user" et "domaines_noauth_acad" ne sont pas pris en compte et encore moins en "temps réel"
#3 Mis à jour par Fabrice Barconnière il y a environ 10 ans
- Version cible changé de Mises à jour 2.3.12 à Mises à jour 2.3.13
#4 Mis à jour par Joël Cuissinat il y a presque 10 ans
- Version cible
Mises à jour 2.3.13supprimé
#5 Mis à jour par Emmanuel GARETTE il y a environ 9 ans
- Tâche parente mis à #8833
#6 Mis à jour par Joël Cuissinat il y a environ 9 ans
- Statut changé de A étudier à Nouveau
- Tâche parente
#8833supprimé
#7 Mis à jour par Joël Cuissinat il y a presque 9 ans
- Tracker changé de Tâche à Anomalie
- Version cible
sprint 2015 14-16supprimé
#8 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Temps estimé mis à 5.00 h
- Tâche parente mis à #13736
#9 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Statut changé de Nouveau à En cours
- Début mis à 05/01/2016
- Restant à faire (heures) mis à 5.0
#10 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- Assigné à mis à Emmanuel GARETTE
#11 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
Solution plus ambitieuse : ajout d'une variable dans l'onglet "Exception au proxy".
#12 Mis à jour par Emmanuel GARETTE il y a plus de 8 ans
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 5.0 à 0.25
#13 Mis à jour par Scrum Master il y a plus de 8 ans
- Statut changé de En cours à Résolu
#14 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- Statut changé de Résolu à En cours
- % réalisé changé de 100 à 80
- Restant à faire (heures) changé de 0.25 à 1.0
Sur un poste admin hors domaine avec wpad sur Firefox :
- Accès à eole.ac-dijon.fr/eole par 3128 : OK
- Accès à www.microsoft.com par 3128 : OK
- .ubuntu.com est déclaré dans la variable; accès à askubuntu.com : NOK, Accès interdit car non authentifié
- Revoir l'aide de la variable proxy_noauth_auto , fautes plus pas compréhensible
#15 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- % réalisé changé de 80 à 100
- Restant à faire (heures) changé de 1.0 à 0.0
#16 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- Statut changé de En cours à Résolu
#17 Mis à jour par Fabrice Barconnière il y a environ 8 ans
- Statut changé de Résolu à Fermé