Project

General

Profile

Tâche #6950

eole-wpad - Scénario #13736: Gestion des sites déclarés en exception d'authentification avec cNTLM

wpad + CNTLM : les sites non authentifié ne devrait pas passer par 3127 mais 3128

Added by Emmanuel GARETTE over 10 years ago. Updated over 8 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
01/05/2016
Due date:
% Done:

100%

Estimated time:
5.00 h
Spent time:
Remaining (hours):
0.0

Description

Il serait pratique que wpad prenne en compte les sites "noauth" de squid et rediriger les requêtes de proxy vers 3128 au lieu de 3127.

En effet, via CNTML l'authentification est obligatoire même si le site n'est pas authentifié (gênant notamment pour les mises à jours).

Cela donnerait quelque chose comme cela :

function FindProxyForURL(url, host) {
    if ( isInNet(host, "127.0.0.1", "255.255.255.255") ||
            isInNet(host, "192.168.1.0", "255.255.255.0")
        )
    {
        return "DIRECT";
    };
    if ( dnsDomainIs(host, ".windowsupdate.com") ||
            dnsDomainIs(host, ".microsoft.com") ||
            dnsDomainIs(host, "blogs.technet.com") ||
            dnsDomainIs(host, ".microsoftonline.com") ||
            dnsDomainIs(host, ".livemeeting.com") ||
            dnsDomainIs(host, ".oracle.com") ||
            dnsDomainIs(host, ".javafx.com") ||
            dnsDomainIs(host, ".java.com") ||
            dnsDomainIs(host, ".sun.com") ||
            dnsDomainIs(host, ".eoleng.ac-dijon.fr") ||
            dnsDomainIs(host, ".ftp.crihan.fr") ||
            dnsDomainIs(host, ".archive.canonical.com") ||
            dnsDomainIs(host, ".ubuntu.com") ||
            dnsDomainIs(host, ".database.clamav.net") ||
            dnsDomainIs(host, ".pool.ntp.org") ||
            dnsDomainIs(host, ".services.openoffice.org") ||
            dnsDomainIs(host, ".wustat.windows.com") ||
            dnsDomainIs(host, ".pack.google.com"))
    {
        return "PROXY 192.168.1.2:3128";
    };
    return "PROXY 192.168.1.2:3127";
}

Related issues

Related to Amon - Scénario #8803: evolution amon 2.4 bypassproxy reseau Terminé (Sprint) 11/24/2014 12/05/2014

Associated revisions

Revision 1f1a1c95 (diff)
Added by Emmanuel GARETTE over 8 years ago

ajout des variables proxy_noauth et proxy_noauth_auto utilisé par le proxy et wpad (ref #6950 @1h)

Revision 326f0392 (diff)
Added by Emmanuel GARETTE over 8 years ago

utilisation des variables proxy_noauth_* (ref #6950 @1h)

Revision 2f29092a (diff)
Added by Emmanuel GARETTE over 8 years ago

utilisation des variables proxy_noauth_* (ref #6950 @1h)

Revision fd9b7079 (diff)
Added by Emmanuel GARETTE over 8 years ago

utilisation des variables proxy_noauth_* (ref #6950 @1h)

Revision f9ae5816 (diff)
Added by Emmanuel GARETTE over 8 years ago

meilleurs support de proxy_noauth (ref #6950 @1h)

Revision def885ad (diff)
Added by Emmanuel GARETTE over 8 years ago

Les domaines commençants par un "." sont mal gérés (ref #6950 @1h)

Par exemple : .ac-dijon.fr n'est pas géré pareil par squid et wpad.
ac-dijon.fr et www.ac-dijon.fr sont autorisés par squid, mais seul www.ac-dijon.fr l'est pour wpad.
Si le domaine commence par un ".", les 2 domaines sont maintenant autorisé.

Revision ad9c8130 (diff)
Added by Emmanuel GARETTE over 8 years ago

gérer correctement les domaines commençant par un . (ref #6950 @1h)

History

#1 Updated by Joël Cuissinat over 10 years ago

  • Subject changed from wpad + CNTLM : les sites non authentifié ne devrait pas passé par 3127 mais 3128 to wpad + CNTLM : les sites non authentifié ne devrait pas passer par 3127 mais 3128
  • Status changed from Nouveau to A étudier
  • Target version set to Mises à jour 2.3.12

#2 Updated by Joël Cuissinat over 10 years ago

Pour le plaisir, voici une proposition de code...

%def special_join(%%dnsdomain)
%return ' ||\n'.join(%%dnsdomain)
%end def
%set %%sites = file('/etc/squid/domaines_noauth').read()
%set %%dnsdomain = []
%for %%site in %%sites.split('\n')
%if %%site != ''
%%dnsdomain.append(' dnsDomainIs(host, "'+%%site+'")')%slurp
%end if
%end for
%%special_join(%%dnsdomain)

Par contre, il reste quelques restrictions :
  • il faut que /etc/squid/domaines_noauth soit impérativement instancié avant
  • les sites "domaines_noauth_user" et "domaines_noauth_acad" ne sont pas pris en compte et encore moins en "temps réel"

#3 Updated by Fabrice Barconnière over 10 years ago

  • Target version changed from Mises à jour 2.3.12 to Mises à jour 2.3.13

#4 Updated by Joël Cuissinat about 10 years ago

  • Target version deleted (Mises à jour 2.3.13)

#5 Updated by Emmanuel GARETTE about 9 years ago

  • Parent task set to #8833

#6 Updated by Joël Cuissinat about 9 years ago

  • Status changed from A étudier to Nouveau
  • Parent task deleted (#8833)

#7 Updated by Joël Cuissinat about 9 years ago

  • Tracker changed from Tâche to Anomalie
  • Target version deleted (sprint 2015 14-16 )

#8 Updated by Emmanuel GARETTE over 8 years ago

  • Estimated time set to 5.00 h
  • Parent task set to #13736

#9 Updated by Emmanuel GARETTE over 8 years ago

  • Status changed from Nouveau to En cours
  • Start date set to 01/05/2016
  • Remaining (hours) set to 5.0

#10 Updated by Emmanuel GARETTE over 8 years ago

  • Assigned To set to Emmanuel GARETTE

#11 Updated by Emmanuel GARETTE over 8 years ago

Solution plus ambitieuse : ajout d'une variable dans l'onglet "Exception au proxy".

#12 Updated by Emmanuel GARETTE over 8 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 5.0 to 0.25

#13 Updated by Scrum Master over 8 years ago

  • Status changed from En cours to Résolu

#14 Updated by Fabrice Barconnière over 8 years ago

  • Status changed from Résolu to En cours
  • % Done changed from 100 to 80
  • Remaining (hours) changed from 0.25 to 1.0
Presque tout semble fonctionner.
Sur un poste admin hors domaine avec wpad sur Firefox :
  • Accès à eole.ac-dijon.fr/eole par 3128 : OK
  • Accès à www.microsoft.com par 3128 : OK
  • .ubuntu.com est déclaré dans la variable; accès à askubuntu.com : NOK, Accès interdit car non authentifié
  • Revoir l'aide de la variable proxy_noauth_auto , fautes plus pas compréhensible

#15 Updated by Fabrice Barconnière over 8 years ago

  • % Done changed from 80 to 100
  • Remaining (hours) changed from 1.0 to 0.0

#16 Updated by Fabrice Barconnière over 8 years ago

  • Status changed from En cours to Résolu

#17 Updated by Fabrice Barconnière over 8 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF