Questions fréquentes propres au module Amon
Le service rvp est introuvable
Le service rvp est introuvable :
root@amon:~# service rvp start
Failed to start rvp.service: Unit rvp.service not found.
root@amon:~#
Truc & astuce
Les opérations du service rvp ont été intégrées dans le service strongswan, il faut donc l'utiliser en remplacement :
root@amon:~# service strongswan start
et
root@amon:~# service strongswan stop
Le service agregation est introuvable
Le service agregation est introuvable :
root@amon:~# service agregation status
● agregation.service
Loaded: not-found (Reason: No such file or directory)
Active: inactive (dead)
root@amon:~#
Truc & astuce
Les opérations du service agregation ont été déplacées dans un script, celui-ci peut être exécuté comme suit :
root@amon:~# agregation status
le service Agregation n'est pas démarré
root@amon:~#
Vider le cache du proxy
Truc & astuceVider le répertoire cache de Squid
Il faut arrêter le service Squid, supprimer les fichiers, re-générer l'arborescence du cache et redémarrer le service.
# service squid stop
# rm -rf $(CreoleGet cache_dir)/*
# squid -f /etc/squid/squid.conf -z -N
# service squid start
Truc & astuceVider le répertoire cache de la seconde instance de Squid
Il faut arrêter le second service Squid, supprimer les fichiers, re-générer l'arborescence du cache et redémarrer le service.
# service squid3-2 stop
# rm -rf $(CreoleGet cache_dir_2)/*
# squid -f /etc/squid/squid2.conf -z -N
# service squid3-2 start
Problèmes avec le protocole HTTPS
Truc & astuce
La règle de pare-feu par défaut redirige le trafic Internet directement vers le proxy local.
C'est le mécanisme de proxy transparent.
Cette méthode ne permet toutefois pas de laisser passer le flux chiffré (HTTPS) par ce même mécanisme.
Pour accéder aux sites en HTTPS, il est nécessaire de configurer le proxy sur les postes clients (par exemple : avec ESU sur le module Scribe).
Truc & astuce
L'option Destinations non redirigées sur le proxy
disponible en mode expert dans l'onglet Interface-1
permet, à l'inverse, de déclarer des exceptions.
Lenteur lors de la navigation web
Un filtrage web e2guardian est en place et la navigation web est très lente.
Dans les logs apparaissent des erreurs Squid à répétition (TCP_DENIED/407
) :
Mar 01 10:36:01 amon (squid): 1363253761.503 51 192.168.10.10 TCP_DENIED/407 4006 GET http://linuxfr.org/ - NONE/- text/html
Truc & astuceAugmenter le nombre de processus e2guardian maximum dans le filtre
Avant d'augmenter le nombre de processus, on peut vérifier la valeur configurée dans l'interface de configuration du module. Celle-ci est fixée à 256
par défaut et se trouve dans l'onglet Filtrage web
en mode expert.
Une commande rudimentaire permet de se rendre compte du nombre de processus effectivement exécutés sur le serveur mais elle ne permet pas de distinguer à quelle instance appartiennent les processus et renvoie aussi les processus qui servent a contrôler les autres processus :
# ps ax | grep -c guardian
La commande diagnose permet de connaître précisément le nombre de processus e2guardian exécutés par instance :
*** Filtre web
admin: test-eole.ac-dijon.fr => Ok
pedago: test-eole.ac-dijon.fr => Ok
dmz-priv: test-eole.ac-dijon.fr => Ok
. Nb instances 1 => 15/256
Si la commande renvoie un nombre trop proche voir supérieur à la valeur configurée dans l'interface de configuration du module, elle doit être augmentée. La valeur maximum est 8192
.
Attention
Il est fortement recommandé de ne pas dépasser la valeur maximum de 8192 processus.
Une nouvelle fenêtre Cntlm for parent ne cesse de s'afficher
La navigation Cntlm ne fonctionne plus, une nouvelle fenêtre Cntlm for parent ne cesse de s'afficher.
Truc & astuce
Vérifier que l'utilisateur n'a pas l'obligation de changer son mot de passe (fonctionnalité Forcer la modification du mot de passe à la 1ère connexion).
Sur les modules Scribe, Horus et AmonEcole, la commande suivante permet de désactiver l'obligation de changement de mot de passe pour un utilisateur :
# CreoleRun "net sam set pwdmustchangenow <login> no" fichier
Truc & astuce
Si l'obligation de changer son mot de passe est imposée pendant que la session utilisateur est ouverte, la navigation authentifiée NTLM sera également impossible.
Compatibilité du module Sphynx avec les différentes versions du module Amon
Un serveur Sphynx 2.5 est-il en mesure d'établir des tunnels VPN avec des serveurs Amon 2.6 ?
Inversement, un Sphynx 2.6 est-il en mesure d'établir des tunnels VPN avec des serveurs Amon 2.5 et 2.4 ?
Truc & astuceLa compatibilité est assurée par strongSwan
Actuellement toutes les versions maintenues du module Sphynx fonctionnent avec toutes les versions maintenues du module Amon et inversement.
La compatibilité du module Sphynx avec les versions du module Amon est dépendante de la compatibilité des versions de strongSwan[1] entre elles. Pour le moment, les versions divergent peu.
Pour vérifier cette compatibilité, il est possible de relever les différentes versions de strongSwan intégrées sur les serveurs concernés et de se rendre sur le site du projet strongSwan : https://strongswan.org/.