Questions fréquentes propres au module Amon

Le service rvp est introuvable

Le service rvp est introuvable :

root@amon:~# service rvp start

Failed to start rvp.service: Unit rvp.service not found.

root@amon:~#

Truc & astuce

Les opérations du service rvp ont été intégrées dans le service strongswan, il faut donc l'utiliser en remplacement :

root@amon:~# service strongswan start

et

root@amon:~# service strongswan stop

Le service agregation est introuvable

Le service agregation est introuvable :

1
root@amon:~# service agregation status
2
● agregation.service
3
   Loaded: not-found (Reason: No such file or directory)
4
   Active: inactive (dead)
5
root@amon:~#

Truc & astuce

Les opérations du service agregation ont été déplacées dans un script, celui-ci peut être exécuté comme suit :

1
root@amon:~# agregation status
2
le service Agregation n'est pas démarré
3
root@amon:~# 

Vider le cache du proxy

Truc & astuceVider le répertoire cache de Squid

Il faut arrêter le service Squid, supprimer les fichiers, re-générer l'arborescence du cache et redémarrer le service.

# service squid stop

# rm -rf $(CreoleGet cache_dir)/*

# squid -f /etc/squid/squid.conf -z -N

# service squid start

Truc & astuceVider le répertoire cache de la seconde instance de Squid

Il faut arrêter le second service Squid, supprimer les fichiers, re-générer l'arborescence du cache et redémarrer le service.

# service squid3-2 stop

# rm -rf $(CreoleGet cache_dir_2)/*

# squid -f /etc/squid/squid2.conf -z -N

# service squid3-2 start

Problèmes avec le protocole HTTPS

Truc & astuce

La règle de pare-feu par défaut redirige le trafic Internet directement vers le proxy local.

C'est le mécanisme de proxy transparent.

Cette méthode ne permet toutefois pas de laisser passer le flux chiffré (HTTPS) par ce même mécanisme.

Pour accéder aux sites en HTTPS, il est nécessaire de configurer le proxy sur les postes clients (par exemple : avec ESU sur le module Scribe).

Truc & astuce

L'option Destinations non redirigées sur le proxy disponible en mode expert dans l'onglet Interface-1 permet, à l'inverse, de déclarer des exceptions.

Lenteur lors de la navigation web

Un filtrage web e2guardian est en place et la navigation web est très lente.

Dans les logs apparaissent des erreurs Squid à répétition (TCP_DENIED/407) :

Mar 01 10:36:01 amon (squid): 1363253761.503 51 192.168.10.10 TCP_DENIED/407 4006 GET http://linuxfr.org/ - NONE/- text/html

Truc & astuceAugmenter le nombre de processus e2guardian maximum dans le filtre

Avant d'augmenter le nombre de processus, on peut vérifier la valeur configurée dans l'interface de configuration du module. Celle-ci est fixée à 256 par défaut et se trouve dans l'onglet Filtrage web en mode expert.

Une commande rudimentaire permet de se rendre compte du nombre de processus effectivement exécutés sur le serveur mais elle ne permet pas de distinguer à quelle instance appartiennent les processus et renvoie aussi les processus qui servent a contrôler les autres processus :

# ps ax | grep -c guardian

La commande diagnose permet de connaître précisément le nombre de processus e2guardian exécutés par instance :

*** Filtre web

admin: test-eole.ac-dijon.fr => Ok

pedago: test-eole.ac-dijon.fr => Ok

dmz-priv: test-eole.ac-dijon.fr => Ok

. Nb instances 1 => 15/256

Si la commande renvoie un nombre trop proche voir supérieur à la valeur configurée dans l'interface de configuration du module, elle doit être augmentée. La valeur maximum est 8192.

Attention

Il est fortement recommandé de ne pas dépasser la valeur maximum de 8192 processus.

Une nouvelle fenêtre Cntlm for parent ne cesse de s'afficher

La navigation Cntlm ne fonctionne plus, une nouvelle fenêtre Cntlm for parent ne cesse de s'afficher.

Truc & astuce

Vérifier que l'utilisateur n'a pas l'obligation de changer son mot de passe (fonctionnalité Forcer la modification du mot de passe à la 1ère connexion).

Sur les modules Scribe, Horus et AmonEcole, la commande suivante permet de désactiver l'obligation de changement de mot de passe pour un utilisateur :

# CreoleRun "net sam set pwdmustchangenow <login> no" fichier

Truc & astuce

Si l'obligation de changer son mot de passe est imposée pendant que la session utilisateur est ouverte, la navigation authentifiée NTLM sera également impossible.

Compatibilité du module Sphynx avec les différentes versions du module Amon

Un serveur Sphynx 2.6 est-il en mesure d'établir des tunnels VPN avec des serveurs Amon 2.7 ?

Inversement, un Sphynx 2.7 est-il en mesure d'établir des tunnels VPN avec des serveurs Amon 2.7 et 2.5 ?

Truc & astucePour les connexions VPN, la compatibilité est assurée par strongSwan

Actuellement toutes les versions maintenues du module Sphynx peuvent établir des tunnels VPN avec toutes les versions maintenues du module Amon et inversement.

La compatibilité du module Sphynx avec les versions du module Amon est dépendante de la compatibilité des versions de strongSwan[1] entre elles. Pour le moment, les versions divergent peu.

Pour vérifier cette compatibilité, il est possible de relever les différentes versions de strongSwan intégrées sur les serveurs concernés et de se rendre sur le site du projet strongSwan : https://strongswan.org/.