ADVPROXY et... Firefox !

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

ADVPROXY et... Firefox !

Messagepar Philou49 » 29 Août 2006 09:48

Bonjour à tous !

Nous avons installé une solution IPCOP avec les 3 zones (Bleu, vert, rouge).
Nous avons installé les addons habituels (advproxy, blockouttraffic, ipcop-wpad).

Nos étudiants sont autorisés uniquement en WIFI.

Ils utilisent IE et Firefox.

Tout marche nickel.

Pour la sécurité, nous avons opté pour l'authentification LDAP .

Cependant, concernant l'authentification via le navigateur, nous n'avons pas trouvé de solution au ".pac" !

Autant la détection auto d'IE marche bien, autant pour FireFox cela doit s'appuyer sur le fameux ".pac".

Nous avons épluché le Net, et n'avons pas trouvé (pour le moment), un moyen pour automatiser également cette étape, ce qui nous a obligé à concevoir une petite brochure pour nos étudiants français et étrangers afin de mentionner l'URL de téléchargment du ".pac" sur notre réseau !

Y aurait-il une façon quelconque ; via un réglage, un addon, ou toute autre méthode ; de se connecter via Firefox, et d'obtenir automatiquement la fenêtre d'authentification SANS passer par la procédure manuelle !??

Merci d'avance pour vos suggestions et éventuelles réponses,

Cordialment,

Phil.
Philou49
Matelot
Matelot
 
Messages: 4
Inscrit le: 29 Août 2006 09:34

Messagepar Gaston » 29 Août 2006 11:32

Bonjour,
il n'y a pas de raison pour que la detection automatique fonctionne sous IE et pas Firefox - en partant du fait que
l'on parle des mêmes stations de travail : config réseau/DNS identique.
La detection automatique passe par un wpad (pas un .pac) vous avez donc du créér sur un seveur intranet un
http://wpad.ledomaine.tld et c'est cette URL qui est récupérée lorsque l'on choisit la configuration automatique des
paramètres proxy. Le contenu de ce wpad est bien entendu le même que celui du .pac mais il doit s'appeler wpad.dat
Peux-tu confirmer que c'est la démarche que vous avez adopté ? chez MS ils ont parfois peu respectueux des normes
et il se pourrait que vous récupériez correctement une conf sans être passé par les étapes ci-dessus.

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar Philou49 » 29 Août 2006 13:16

Bonjour Gaston !

Et merci tout d'abord pour cette rapide première réponse apportée à notre question ! ;-)

Par contre, une peite précision avant tout, car en me relisant, j'ai peur d'avoir été ambigu dans mes propos...
Le mécanisme du ".pac" pour FireFox est fonctionnel !

Notre problème, c'est que l'URL du ".pac" doit être insérée manuellement dans les options de FireFox pour que nos étudiants puissent se connecter, car visiblement, la détection automatique du proxy de FireFox ne "semble" pas fonctionner !

Gaston a écrit:Bonjour,
il n'y a pas de raison pour que la detection automatique fonctionne sous IE et pas Firefox - en partant du fait que l'on parle des mêmes stations de travail : config réseau/DNS identique.
G.


Nous sommes bien d'accord ! ;-)
Je serais tenté de dire que Firefox étant originaire du monde "libre" il serait d'autant plus respectueux des normes...
Mais force est de reconnaitre que ce n'est pas le cas pour nous actuellement...

Gaston a écrit:La detection automatique passe par un wpad (pas un .pac) vous avez donc du créér sur un seveur intranet un http://wpad.ledomaine.tld et c'est cette URL qui est récupérée lorsque l'on choisit la configuration automatique des paramètres proxy. Le contenu de ce wpad est bien entendu le même que celui du .pac mais il doit s'appeler wpad.dat.


C'est exact. L'URL fournie est du type "http://172.x.x.x:81/proxy.pac".
Nous avons également mis en place un alias du type "http://wpad:81/proxy.pac" pour éviter de tenter nos "ouailles" de chercher à se connecter d'une autre manière...

Elle fonctionne parfaitement pour IE mais nécessite l'ajout de celle-ci pour FireFox.

Nous avions effectivement jeté un coup d'oeil sur le contenu des fichiers PAC et DAT, et nous avions constaté, comme indiqué, que le contenu est rigoureusement identique.

Cependant, le collègue qui a procédé à l'installation et aux paramétrages d'IPCOP, avait opté pour un nom de domaine par défaut pour IPCOP, c'est à dire "ipcop.localdomain" si mes souvenirs sont bons !

Est-ce que ce choix pourrait éventuellement être incompatible avec un bon fonctionnement automatique du mécanisme des ".pac" pour FireFox !?

J'ai noté que le pb est de toute manière le même sur Safari qui semble utliser le même moteur que FireFox !!
Je viens de terminer un test avec un Mac et les symptômes sont les mêmes...

Gaston a écrit:Peux-tu confirmer que c'est la démarche que vous avez adopté ? chez MS ils ont parfois peu respectueux des normes et il se pourrait que vous récupériez correctement une conf sans être passé par les étapes ci-dessus.


Tout a été suivi à la lettre et l'authentification via LDAP qui s'appuie sur notre AD marche nickel.

Une idée docteur !? ;-)

Cordialement,

PhiL.
Philou49
Matelot
Matelot
 
Messages: 4
Inscrit le: 29 Août 2006 09:34

Messagepar Gaston » 29 Août 2006 17:58

ta réponse me confuse complètement, on à l'air de tout et rien comprendre :( (c'est peut-etre moi qui suis fatigué)
Je me résume donc :
Il y a deux manière d'utiliser une configuration automatique, toutes deux basées sur un fichier de configuration automatique de proxy (PAC file)

- configuration automatique du proxy (automatic proxy configuration URL / utilisation d'un script de configuration automatique)
- détection automatique des paramètres proxy

Dans le premier cas, on construit un "PAC file" que l'on nomme habituellement avec l'extension .pac (les_eleves.pac par exmple) et on configure l'option adéquouate dans le navigateur, par exemple : http://mon_serveur.deconfigde.mondomain ... eleves.pac
Le navigateur exécute une requète lors de son lancement, récupère les règles du PAC et les conserve en mémoire pour un certain temps (je ne sait plus quelle est la valeur du timeout, ni où c'est configuré).
A partir de là tu as une configuration qui te force à suivre les règles de navigation (authentification LDAP pour Internet par exemple) de ton entreprise.
IE est beaucoup plus embétant avec le contenu du pac que d'autre navigateurs (interprétation libre des regex par exemple :roll:)
Cette configuration implique de fournir l'URL du PAC aux utilisateurs (peut-etre fait via la GPO pour IE).

Dans le deuxième cas, on construit également un fichier de config (PAC) que l'on nommera "wpad.dat" et on va utiliser un mécanisme générique pour récupérer ce PAC.
Considérons : mondomaine.tld et les sous domaines, mamaison.mondomaine.tld, montravail.mondomaine.tld
si ma configuration DNS indique que mes suffixes DNS sont : montravail.mondomaine.tld , mondomaine.tld
et le navigateur configuré avec "detection automatique des paramètres proxy/ Auto-detect proxy settings for this network)
Lors du lancement du navigateur, les requètes suivantes seront générées :
Code: Tout sélectionner
     http://wpad.montravail.mondomaine.tld/wpad.dat
     http://wpad.mondomaine.tld/wpad.dat

Si aucune de ces URI ne peut être résolue, aucune configuration proxy ne sera appliquée. La première URI résolue fournira la config proxy dans les même condition qu'un PAC file (pour le timeout).

Je suis contre l'utilisation de nom court dans les URI : c'est du n'importe quoi de fainéant assités qui ne veulent pas savoir que la gestion d'un réseau peu engendrer des contraintes (et hors coup de $%#&!, sur une infra complexe c'est le meilleur
moyen pour ne plus avoir de cheveux en pas longtemps).

Si l'implémentation, comme décrite ci-dessus, des URI wpad ne fonctionne pas, il faut te retourner vers les forums
spécialisé de Firefox, c'est pas normal (à mon avis)
Est-ce que le pb existe avec différentes version de FireFox? est-ce que d'autre navigateurs (Opera, ...) sont fonctionnels ?
Tu mentionnais le Wifi en début de post, est-ce que le comportement (avec un même poste) est différent en filaire ?

je suis perplexe ...

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar Philou49 » 29 Août 2006 19:21

Re !

Gaston a écrit:ta réponse me confuse complètement, on à l'air de tout et rien comprendre :( (c'est peut-etre moi qui suis fatigué)


Il y a peut-être un peu des deux docteurs ! ;-)

Gaston a écrit: Je me résume donc :Il y a deux manière d'utiliser une configuration automatique, toutes deux basées sur un fichier de configuration automatique de proxy (PAC file)

- configuration automatique du proxy (automatic proxy configuration URL / utilisation d'un script de configuration automatique)
- détection automatique des paramètres proxy

Dans le premier cas, on construit un "PAC file" que l'on nomme habituellement avec l'extension .pac [...]


Nous ne nous sommes pas encore penchés sur la question !!
L'install en prod est très récente et sujette à de futures évolutions une fois les "produits" bien en main !

Gaston a écrit: [...]IE est beaucoup plus embétant avec le contenu du pac que d'autre navigateurs (interprétation libre des regex par exemple :roll:)
Cette configuration implique de fournir l'URL du PAC aux utilisateurs (peut-etre fait via la GPO pour IE).


Encore une fois, nous n'avons AUCUN problème avec IE qui détecte automatiquement le fichier et charge comme un grand les infos !! ;-)
Pas d'intervention manuelle comme pour Firefox ! ;-)

Gaston a écrit: Dans le deuxième cas, on construit également un fichier de config (PAC) que l'on nommera "wpad.dat" et on va utiliser un mécanisme générique pour récupérer ce PAC.
Considérons : mondomaine.tld et les sous domaines, mamaison.mondomaine.tld, montravail.mondomaine.tld [...]


C'est peut-être là que cela pêche...
Nous avons notre TLD, MAIS nous avons laissé le domaine local (ipcop.localdomain je crois...)paramétré dans IPCOP...
Je ne sais plus si mes collègues ont ajouté un enregistrement dans les DNS...
A vérifier pour ce point de mon côté...

Quoi qu'il en soit, si le mécansime est standard, pourquoi cela marcherait il pour IE6 et pas pour Firefox !?...


Gaston a écrit:Est-ce que le pb existe avec différentes version de FireFox? est-ce que d'autre navigateurs (Opera, ...) sont fonctionnels ?


Nous avons testé avec quelques portables (le gros de nos étudiants n'est pas encore rentré...) et Firefox en version 1.5.0 pour la plupart.

J'ai fait le test avec Safari sur un Mac et Airport ce midi, qui semble être basé sur le même moteur que firefox, donc pas probant.
Quant à Opéra, je ne l'ai pas encore testé (ici).

Gaston a écrit: Tu mentionnais le Wifi en début de post, est-ce que le comportement (avec un même poste) est différent en filaire ?


Pas éssayé encore ! ;-)

Gaston a écrit:je suis perplexe ...


Moi aussi ! ;-)

Cordialement,

PhiL.
Philou49
Matelot
Matelot
 
Messages: 4
Inscrit le: 29 Août 2006 09:34

Messagepar Franck78 » 30 Août 2006 02:47

Salut,
Il faut exactement trente secondes pour lancer le 'setup' dans le console d'IPCop et ainsi allez lui changer son petit nom et son domaine...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Philou49 » 30 Août 2006 06:45

Bonjour !

Franck78 a écrit:Salut,
Il faut exactement trente secondes pour lancer le 'setup' dans le console d'IPCop et ainsi allez lui changer son petit nom et son domaine...


Oui, je sais que cela se fait facilement, mais est on sûr qu'il s'agit bien d'une question de nom de domaine !!??
Car notre IPCOP est en prod...

PhiL.
Philou49
Matelot
Matelot
 
Messages: 4
Inscrit le: 29 Août 2006 09:34

Messagepar Franck78 » 30 Août 2006 17:07

Son petit nom 'dns' n'interfère pas vraiment avec ses fonctions de bases: firewall. Ensuite, je n'ai pas été voir dans le détail du coté des certs générés pour httpd par exemple, mais comme seul l'admin est concerné,... Un bon grep devrait trouver des 'localdomain' non remplacés (setup ne modifie que dans /var/ipcop/main/settings).

Quand à l'interaction avec ton addon, c'est bien toi qui suppose que cela pourrait être une cause de dysfonctionnement non ?
Tu peux y chercher une référence à "/var/ipcop/main/settings" par exemple et voir ce qu'il en fait.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Gesp » 30 Août 2006 18:34

Attention si vous changez le nom de domaine.

Il est à de nombreux endroit et pour le moment la transition n'est pas assurée partout loin de là (sans compter les add-ons).

Par exemple, le nom de domaine est dans le certificat du serveur apache créé au premier boot.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Arpanet » 30 Août 2006 19:43

J’ai constaté que firefox utilise le lien par défaut http://wpad.localdomain:80/... et non pas le lien renseigné dans les options DHCP qui est (dans mon cas) http://wpadserveur.localdomain:81/ , pourquoi ce comportement? Je ne sais pas mais je cherche. Peut-être que firefox ne se base pas sur les options DHCP mais le DNS (A contrôler, il me semble que WPAD utilise différentes technique). Si vous avec des infos sur la mécanique firefox, WPAD, proxy.pac, wpad.dat, etc... merci
2 Dell PowerEdge = IPCop v1.4.21 RBG + advproxy v3.0.5 avec WPAD 2.2 + Accelerator 2.1.3 + BOT 3.0.0 build3 + SARG 2.2.5
Avatar de l’utilisateur
Arpanet
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 170
Inscrit le: 05 Mars 2004 01:00
Localisation: ANGERS - France

Messagepar Franck78 » 30 Août 2006 19:59

Oui mais en quoi est-ce bloquant? Nullement pour l'utilisateur.
DNS interne: Est-ce que les utilisateurs on une fois tapé le nom d'un machine 'xyz.localdomain' ?

'/etc/host' sur l'IPCop est mis à jour.
Les autres entrées utilisant ce nom de domaine ne sont pas mise à jour.

Le nom est correct sur la page d'accueil. Gène = zéro pour les utilisateur.
Donc si c'est ca qui peut géner l'addon, faut pas se priver!
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Doccolor » 30 Août 2006 20:22

J'ai exactement le même souci. En rien lié à IPCop puisque dans mon cas, il s'agit d'un DHCP sur un Windows 2000 serveur et des clients XP. IE quelle que soit la version gère parfaitement l'auto détection du proxy, alors que Firefox non... La seule solution est de définir manuellement l'adresse de configuration automatique de proxy.

Il semblerait que des addons pour FF permette de passer outre ce bug.

Pour ce qui est du port, il est clairement signalé par M$ que seule les machines XP et 2000 SP4 gère correctement un port autre que le standard 80...
Ce qui ne me tue pas me rend plus fort.
Avatar de l’utilisateur
Doccolor
Matelot
Matelot
 
Messages: 2
Inscrit le: 08 Nov 2003 01:00

Messagepar Arpanet » 30 Août 2006 21:12

Si tu es sur un autre system et que tu as le même prb cella exclu des prb éventuel du DHCP. Tu as testé avec d'autres clients?
IE marche très bien (lui) en détection automatique et pourquoi pas les autres, firefox, safari,..... Peut-être que les autres navigateurs ne supporte pas (ou pas bien) le WPAD, ils doivent utiliser les valeurs par défaut du WPAD et ils manquent de souplesse dans la personnalisation de cette fonction.

Exact Doccolor il y a un addon, c'est peut-étre une piste -> https://addons.mozilla.org/firefox/2464/ (il date du 28 août 2006)
Je viens d'installer cet addon et a ma grande surprise il supprime l'option "détection automatique du proxy" (comme quoi), il y a toujours le champ pour l'URL du fichier de configuration automatique du proxy (PAC) mais plus de détection. :cry:
2 Dell PowerEdge = IPCop v1.4.21 RBG + advproxy v3.0.5 avec WPAD 2.2 + Accelerator 2.1.3 + BOT 3.0.0 build3 + SARG 2.2.5
Avatar de l’utilisateur
Arpanet
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 170
Inscrit le: 05 Mars 2004 01:00
Localisation: ANGERS - France

Messagepar Gaston » 30 Août 2006 21:43

Bonsoir,
le wpad fonctionne avec firefox, je l'avais utilisé il y a deux ans !
Il peut cependant y avoir beaucoup de paramètres rentrant en jeu dans le bon fonctionnement du mécanisme
et ce n'est pas avec l'aide de Microsoft qu'on y verra plus clair :roll:

Avec l'aide de Google, je suis tombé sur cette page qui est relativement complète.
En aucun cas le mécanisme de wpad ne gérait (il y a 2 ans) des ports non standard (81 et 8080 sont-il des
ports standards ?) pour moi c'est une requète sur le port 80 aux adresses http://wpad.sous.mondomaine.tld et http://wpad.mondomaine.tld

Néanmoins, il existe un moyen pour configuer le proxy via le DHCP (je connaissait pas donc pas testé) :
créer un une entrée de " type 252, AUTO-PROXY-CONFIG,"qui fournira une URL vers un fichier PAC voir le draft pour la definition du wpad
[code=dhcpd.conf] option wpad code 252 = text;
option wpad "http://www.example.com/proxy.pac";[/code]
On devrait donc pouvoir préciser un port précis, vu que l'on fournit l'URL complète
voir sur le site de squid aussi .
Une très bonne pageégalement dont je vous donne la traduction vite fait sur le gaz de la check list :

    Check list
    Afin que le WPAD fonctione, quelques prérequis sont nécéssaires:

    * Si vous bous utiliser DHCP, alors le DHCP doit être configuré pour fournir l'option "site-local" 252 ("auto-proxy-config") avec une chaine de caractères au format "http://xxx.yyy.zzz.qqq/wpad.dat" (sans les guillemets). xxx.yyy.zzz.qqq représente l'adresse IP d'un serveur WEB. (Il serait préférable d'utiliser un nom de domaine plutôt qu'une adresse IP). Si vous utilisez un serveur DHCP Microsoft,
    vérifiez tous les paramètres "server options" et "scope options"!

    * Si vous voulez utiliser un DNS, il vous faudra créer un enregistrement pour un serveur nommé WPAD.
    * Le serveur WPAD doit fournir un service de page web.

    * DANS LES DEUX OPTIONS, le serveur web doit être configuré pour gérer les page correctement les fichieres de données avec le type MIME "application/x-ns-proxy-autoconfig".
    * Le fichier nommé wpad.dat doit être placé dans le dossier racine du site web WPAD.
    * Des exemple de fichier PAC, peuvent être consulté dans la section configuration automatique du proxy


résultat des course j'ai (re ?) découvert que le wpad est une invention microsoftienne, :cry: :cry: vai aller me coucher moi :? :-& donc c'est peut-etre normal que FF ne le gère pas bien, mais l'option du DHCP me semble intérressante à creuser. (Jai vu passer, sur le net, également des lignes de code add-on qui configure automatiquement le navigateur)

Bonne nuit
G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar Arpanet » 30 Août 2006 21:57

Un grand merci pour les infos, je vais creuser du coté du DHCP d'ipcop, avec l'option 252. :wink:
2 Dell PowerEdge = IPCop v1.4.21 RBG + advproxy v3.0.5 avec WPAD 2.2 + Accelerator 2.1.3 + BOT 3.0.0 build3 + SARG 2.2.5
Avatar de l’utilisateur
Arpanet
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 170
Inscrit le: 05 Mars 2004 01:00
Localisation: ANGERS - France

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité