Activer le groupe intranet

[vbombaerts]

Sur base des range d'ip fournis par le DTIC, configurer le groupe intranet.

[vbombaerts]

A tester

[vbombaerts]

OK au bureau

[marceaulouis]

OK au bureau OK distanciel (et pas accès sans VPN)

[marceaulouis]

distanciel NOK testé sur cette fiche : https://metawal4.valid.wallonie.be/geonetwork/srv/fre/catalog.search#/metadata/e1f61c40-623a-11eb-9e7c-186571a04de3

[vbombaerts]

présentiel NOK

[davinciagf]

Il faut configurer les paramètres via la console d'administration > paramètres > intranet

Je viens configuer la valid sur base des paramètres de la test.

[marceaulouis]

-_- merci

Par contre maintenant j'ai accès même hors VPN

[vbombaerts]

Idem en prod. Quand on active les même range d'IP que test les fiches deviennent publiques.

[fxprunayre]

En activant les logs à debug en prod, on observe que les sessions ont "RemoteIpAddress=157.164.175.46" qui semble être une IP interne - donc je dirai que le proxy qui est devant metawal ne transfert pas l'IP du client ou fixe l'IP et on se retrouve côté applicatif avec l'IP du proxy au lieu de l'IP du client - donc toujours considérée comme intranet.

J'ai pas pu tester en test (down en ce moment) pour voir quelle IP on a dans les logs.

Donc je pencherai pour un pb de config de proxy.

[vbombaerts]

@GeryNi A voir avec Didier stp.

[vbombaerts]

En activant les logs à debug en prod, on observe que les sessions ont "RemoteIpAddress=157.164.175.46" qui semble être une IP interne - donc je dirai que le proxy qui est devant metawal ne transfert pas l'IP du client ou fixe l'IP et on se retrouve côté applicatif avec l'IP du proxy au lieu de l'IP du client - donc toujours considérée comme intranet.

J'ai pas pu tester en test (down en ce moment) pour voir quelle IP on a dans les logs.

Donc je pencherai pour un pb de config de proxy.

La test est à nouveau opérationnelle. Ce que tu proposes fait sens. Je pense qu'en test il n'y a qu'une seule machine alors qu'en prod et valid il y en a 2 en cascasde.

[fxprunayre]

Je suis pas certain de mon test précédent. Le message de log avec RemoteIpAddress (dans un log de SpringSecurity) n'est peut être pas la valeur prise en compte pour isIntranet (https://github.com/geonetwork/core-geonetwork/blob/main/core/src/main/java/org/fao/geonet/kernel/AccessManager.java#L546).

Le comportemant normal devrait être

• le proxy ajoute un header x-forwarded-for qui contient l'IP du client
• l'application utilise cet header

eg. https://github.com/geonetwork/core-geonetwork/blob/main/services/src/main/java/org/fao/geonet/services/main/GenericController.java#L76-L78

A vérifier un peu plus donc.

[fxprunayre]

Donc y'a bien un pb côté metawal (sur la récupération des IP quand on est derrière un proxy) corrigé par https://github.com/SPW-DIG/metawal-core-geonetwork/commit/324bd83f0d5254038947a0543dc354fe4984a5fd. Le proxy définit en général un header "x-forwarded-for" qui doit prendre priorité - ce n'était pas le cas dans toutes les types d'opération de l'API.

Pour tester, il nous faut donc déployer en valid car en test nous devons avoir un accès direct sur Tomcat ?

[christophenoel]

@fxprunayre Désolé pour mon incompréhension encore une fois.. 😊 Comme à ma connaissance 4.2.3 est déjà déployé sur valid, tu suggères de modifier la configuration des paramètres via la console d'administration en valid ? Ou tu suggères de déployer quoi ?

[christophenoel]

Après relecture, je ne sais plus ce qui m'a laissé un doute... Je comprends mieux aujourd'hui qu'un bug dans 4.2.3 a été corrigé par @fxprunayre et la nouvelle version peut-être déployée et testée.

[vbombaerts]

Package correctif déployé en valid. OK en VPN OK depuis le bureau

[GeryNi]

Merci Vincent d'avoir testé et confirmé que le correctif fonctionne sur l'environnement VALID. Je suppose que lorsque l'on aura confirmé que le correctif fonctionne sur PROD on pourra cloturer ce ticket.