Author Topic: Proxy avec authentification kerberos et filtrage en fonction d'un groupe utilisa  (Read 2882 times)

christophe_76

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +1/-0
    • View Profile
Non pas de mise a jour du module, d’ailleurs j'ai refais une installation avec mon nom de domaine d'origine et le pb revient de nouveau. Je referais un essais sans aucun autres équipement allumer sur mon réseau car je ne vois qu'un conflit avec un équipement sur mon réseau.

J'en aurais le cœur net le week-end prochain.

christophe_76

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +1/-0
    • View Profile
Bonjour,

   Fin de mes test est tout fonctionne enfin correctement, le problème n’était pas due au nom de domaine mais a mes nom d'utilisateur.

-> Nom d'utilisateur contenant une majuscule le filtrage ne fonctionne pas (si membre de domaine admin)
-> Nom d'utilisateur uniquement en minuscule tout fonctionne correctement.

Christophe.

christian

  • Guest
Juste je récapitule pour être sûr d'avoir bien compris.

Si un utilisateur a un login comportant une majuscule et qu'il est membre du groupe "admin", alors l’authentification Kerberos pour le proxy HTTP ne fonctionne pas.
J'ai bon ?

Si oui, peux-tu, stp, me confirmer de quel groupe "admin"' il s'agit ?

Merci en tous cas pour tes investigation et pour avoir pris la peine de reporter le résultat.
 

christophe_76

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +1/-0
    • View Profile
Pour moi ce n'ai pas l'authentification a Kerberos qui ne fonctionne pas puisque l'utilisateur arrive a ce connecter au proxy sans qu'aucun mot de passe ne lui soit demander.
Par contre cela bloque quand on ajoute des règles de filtrage baser sur des groupe utilisateur que l'on crée une règle directement pour le groupe "Domain Admins" ou que l'utilisateur fasse partie d'un groupe qui a une règle de filtrage, dansgardian refuse toute les connexions.

Pour les nom d'utilisateur avec majuscule et sans c'est exactement cela. Je n'ai constaté ce problème que sous Windows j'avais fais un essai sous Ubuntu et je n'avais pas rencontré le problème.

Le groupe "Domain Admins" Description : "Designated administrators of the domain".

Pour les investigations il n'y a pas de quoi, c'est comme ça que l'on fais avancer le schmiblique et autant que cela serve a tout le monde que cela soit pour le débogage ou pour les autre utilisateurs.

Edit : La même configuration avec une authentification classique sur le proxy fonctionne même avec des noms d'utilisateurs comportant des majuscule.

« Last Edit: November 14, 2012, 10:56:37 pm by christophe_76 »

christian

  • Guest
C'est parfaitement clair.

Y a t-il un ticket ouvert et si oui, as-tu un lien ?

christophe_76

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +1/-0
    • View Profile
j'avais poster sur ce ticket http://trac.zentyal.org/ticket/5097 par contre on ne peut pas dire qu'il y a eu beaucoup d’évolution depuis quelques temps. En même temps je ne suis pas certain a 100% que le problème colle a 100% au problème d'origine.

Pour moi faire une explication en anglais comme je viens de la faire ça risque d’être le calvaire pour moi comme pour ceux qui vont me lire.

christian

  • Guest
C'est pour ça que je t'ai demandé le n° de ticket.
Je vais ajouter tes commentaires en anglais.

christophe_76

  • Zen Apprentice
  • *
  • Posts: 21
  • Karma: +1/-0
    • View Profile
Merci, c'est sympa de ta part.

christian

  • Guest
D'après Zentyal dev team, ça fonctionne  8)
Javier a mis à jour le ticket (fermé) mais il ne faut pas hésiter à l'ouvrir à nouveau si tes tests montrent que ça ne marche pas.

Le seul point, dans les explications de Zentyal, qu'il faut vérifier à mon sens, c'est que tu utilises bien le fqdn du proxy et non pas l'adresse IP

christian

  • Guest
Christophe, je pense qu'il faut refaire une passe pour clarifier encore.

Ma compréhension est que:

- pour les comptes en minuscule, membres ou pas du groupe "domain admin", le profiling fonctionne
- pour les comptes avec  une majuscule (uniquement au début du compte ou n'importe où dans le compte ?), ça ne marche pas si la règle s'appuie sur le groupe "domain admin"

Questions:
- est-ce que ça marche pour les autres groupes ?
- est que ça marche pour les autres membres du même groupe qui on un compte en minuscule
- est-ce que ça fonctionne depuis une machine Ubuntu alors que ça ne marche pas depuis un client Windows ?

christian

  • Guest
Pour ton information, j'ai créé un nouveau ticket.