Bonjour,
J'ai un problème un peu particulier :
Une sonde de supervision lance un agent dans une base, depuis une URL.
Cette sonde est exécutée sur deux clusters de 6 serveurs, qui contiennent chacun une copie de la base, de façon à ce que lors des mises en production on coupe une grappe, puis l'autre.
La LCA de la base, la sécurité de l'agent, est identique sur les deux copies :
Anonymous : pas d'accès, lecture et écriture des documents publics
agent : non restreint, s'exécute comme user web, visible et lançable par les utilisateurs ayant accès aux documents publics.
Le problème est le suivant :
Un des tests de mise en prod consiste à envoyer une requête non authentifiée, de la forme http://mon.domaine.com/dossier/base.nsf?openagent
La réponse ordinaire est un revoi sur la page d'authentification (domcfg.nsf).
Or sur l'une des copies, j'ai une réponse "KO" (car la sonde lance un agent nécessitant un user authentifié spécifique), et le débug m'indique que l'utilisateur authentifié est le serveur.
Pour compliquer les choses, sur cette copie j'ai parfois la demande d'authentification, puis après quelques heures le "KO" réapparaît.
Je précise que tous les tests sont fait avec un cache vide, fermeture de toutes les fenêtres IE, et vérification de l'authentification éventuelle en direct sur la console serveur.
Mes questions :
- La "bonne erreur" est-elle bien "KO" ?
- Quelqu'un a-t-il déjà rencontré ce phénomène d'authentification "aléatoire" ?
Cordialement
[Résolu] Autorisations d'agents web
3 messages
• Page 1 sur 1
[Résolu] Autorisations d'agents web
par Yann » 16 Déc 2012 à 16:17
Dernière édition par Yann le 17 Déc 2012 à 11:53, édité 1 fois.
- Yann
- Découvre Dominoarea
- Message(s) : 8
- Inscrit(e) le : 10 Mai 2010 à 15:58
Re: Autorisations d'agents web
par roubech » 17 Déc 2012 à 00:42
bonjour,
je suppose qu'entre la base et la commande il y a le nom de l'agent : ...base.nsf/monagent?openagent
tu parles bien de 12 serveurs Domino.
Ton soucis ne concerne qu'un seul de ces Domino ?
tu l'adresse directement, via nom.domaine.com, ou tu passes par un ICM ou un frontal web ou un répartiteur de charge ?
si ton agent est coché "public", à priori "ta sonde" peux l'appeler et sera bien considérée comme "Anonymous"
Après, ça peut dépendre de ce que cet agent fait. S'il essaye de lire ou d'écrire un doc non public, ou d'accéder à une autre base, tu aura une erreur de sécurité. Là j'ai un doute, soit c'est vu comme une erreur de script général, donc erreur 500, soit c'est bien détecté comme une erreur de droit et alors c'est 401 ou 403, mais j'en doute
quand tu vois que c'est le nom du serveur qui est pris en compte, est-ce que ça correspond au signataire de l'agent ? si oui, c'est comme si la case "exécuter comme user web" n'était pas cochée. Et dans ce cas, je suis tenté de croire que le serveur à tout les droits et donc ne renvoi pas sur la page de login
je suppose qu'entre la base et la commande il y a le nom de l'agent : ...base.nsf/monagent?openagent
tu parles bien de 12 serveurs Domino.
Ton soucis ne concerne qu'un seul de ces Domino ?
tu l'adresse directement, via nom.domaine.com, ou tu passes par un ICM ou un frontal web ou un répartiteur de charge ?
si ton agent est coché "public", à priori "ta sonde" peux l'appeler et sera bien considérée comme "Anonymous"
Après, ça peut dépendre de ce que cet agent fait. S'il essaye de lire ou d'écrire un doc non public, ou d'accéder à une autre base, tu aura une erreur de sécurité. Là j'ai un doute, soit c'est vu comme une erreur de script général, donc erreur 500, soit c'est bien détecté comme une erreur de droit et alors c'est 401 ou 403, mais j'en doute
quand tu vois que c'est le nom du serveur qui est pris en compte, est-ce que ça correspond au signataire de l'agent ? si oui, c'est comme si la case "exécuter comme user web" n'était pas cochée. Et dans ce cas, je suis tenté de croire que le serveur à tout les droits et donc ne renvoi pas sur la page de login
-
roubech - Modérateur
- Message(s) : 4976
- Inscrit(e) le : 01 Fév 2007 à 20:22
- Localisation : Lille
Re: Autorisations d'agents web
par Yann » 17 Déc 2012 à 11:53
Hello,
Effectivement il y a un nom d'agent
Sur la grappe qui me pose un souci, les 6 serveurs (avec la même réplique, donc) réagissent de la même manière... mais pas tout le temps !
Je me suis trompé dans mon descriptif, le lanceur de l'agent est en fait l'ID signataire de l'agent, qui n'a pas les droits pour faire une connexion ODBC, d'où l'erreur renvoyée.
Pour ta déduction je suis d'accord, et après test et ré-enregistrement on a bien le résultat attendu : renvoi sur la page d'authentification.
Le problème tient peut-être à ce que cet agent avait été enregistré en 6.5 (il y a un bout de temps) et qu'il tourne maintenant en 8.5.
Merci bien !
Je mets el sujet en résolu.
Effectivement il y a un nom d'agent
Sur la grappe qui me pose un souci, les 6 serveurs (avec la même réplique, donc) réagissent de la même manière... mais pas tout le temps !
Je me suis trompé dans mon descriptif, le lanceur de l'agent est en fait l'ID signataire de l'agent, qui n'a pas les droits pour faire une connexion ODBC, d'où l'erreur renvoyée.
Pour ta déduction je suis d'accord, et après test et ré-enregistrement on a bien le résultat attendu : renvoi sur la page d'authentification.
Le problème tient peut-être à ce que cet agent avait été enregistré en 6.5 (il y a un bout de temps) et qu'il tourne maintenant en 8.5.
Merci bien !
Je mets el sujet en résolu.
- Yann
- Découvre Dominoarea
- Message(s) : 8
- Inscrit(e) le : 10 Mai 2010 à 15:58
3 messages
• Page 1 sur 1
