Browser Access Portal Troubleshooting

 

Vue d'ensemble

Les Portails d'applications (également appelés Accès par navigateur) permettent aux utilisateurs d'accéder à leurs ressources internes d'entreprise en établissant un tunnel sécurisé via Internet. Ce service ne nécessite pas de connexion SDP, mais il exige que les utilisateurs soient des utilisateurs SDP licenciés. Ce livre blanc traite des problèmes d'accès au navigateur courants et propose des étapes de dépannage pour y remédier.

Symptômes

  • Un utilisateur accédant au Portail d'applications reçoit une page d'accès refusé

  • L'application n'apparaît pas dans le portail d'accès au navigateur
  • L'application ne se charge pas.

  • Contenu manquant dans l'application web

  • Format incorrect des contenus dans les applications web. Par exemple, les éléments sont disposés aléatoirement sur la page, le texte est dans la mauvaise taille de police, les images ne sont pas correctement alignées, etc.

  • Les applications expirent pour Accès par navigateur sans client; les utilisateurs du client SDP fonctionnent normalement.

Causes possibles

  • Mauvais configurations
  • Utilisation du protocole HTTP et l'application web contient des liens HTTP absolus vers d'autres contenus

Dépannage du problème

Cette section examinera les étapes pour résoudre les problèmes courants du Portail d'applications.  

Impossible d'accéder au Portail d'applications

Lorsque l'utilisateur accède au Portail d'applications en utilisant l'URL du portail spécifiée dans Accès > Portail d'applications > Paramètres, ils sont accueillis par un message d'accès refusé.

  1. Validez que le sous-domaine ne contient pas de caractères spéciaux. Des caractères comme les tirets ne sont pas supportés. Consulte Changer le sous-domaine pour exclure les caractères spéciaux pour obtenir des instructions sur la façon de valider l'utilisation de caractères spéciaux dans le sous-domaine.
  2. Vérifiez que l'utilisateur est un utilisateur SDP ( licencié) Seuls les utilisateurs auxquels une licence a été attribuée peuvent accéder au portail d'accès au navigateur. Consulte Attribuer une licence aux utilisateurs pour obtenir des instructions sur la façon de valider cela.  
  3. Si l'authentification SSO est activée et "Permettre la connexion avec Single Sign-On" est cochée (Accès > Connexion Unique), vérifiez que le domaine de l'utilisateur est inclus dans les domaines autorisés.
     
  4. Vérifiez dans les événements pour toute erreur évidente. Allez dans Accueil > Événements et ajoutez un filtre comme indiqué ci-dessous. 

    Tous les événements liés au portail d'accès du navigateur seront affichés. Ci-dessous un exemple d'un événement Accès refusé.  

Les applications ne sont pas apparues sur la page d'accueil de l'application

Lorsque l'utilisateur se connecte au portail d'accès au navigateur, des applications spécifiques n'apparaissent pas.

  1. Validez que l'application est ajoutée dans Accès > Portail d'Applications > Applications. Si elle n'est pas ajoutée ici, elle ne sera pas affichée sur la page d'accueil du portail d'applications.
  2. Assurez-vous que l'utilisateur a accès à l'application. Si ce n'est pas le cas, il ne pourra pas la voir sur la page d'accueil de l'application. Cela peut être fait dans Accès > Portail d'Applications > Politique d'Accès.
  3. Pour obtenir des instructions sur la résolution de ces problèmes, consultez Ajouter une application au portail d'accès du navigateur et Configurer la politique d'accès pour les utilisateurs autorisés.

L'application ne se charge pas

En cliquant sur l'icône de l'application, le navigateur peut ne montrer aucun contenu, et l'application reste en chargement jusqu'à ce qu'elle expire.

Si cela se produit, recueillez les données suivantes :

  1. Recueillir une capture PCAP depuis le Socket du site où le serveur de l'application est hébergé, comme expliqué dans Comment capturer le trafic sur un Socket. Filtrer l'adresse IP du serveur web et le port 80 ou 443, selon le port configuré pour l'application dans le CMA.
  2. Confirmez s'il existe un flux de trafic TCP depuis le serveur web. Sinon, vérifiez la connectivité locale avec le serveur. Sans NAT, le trafic atteignant votre serveur interne proviendra d'une adresse IP publique.
  3. Vérifiez s'il est nécessaire d'utiliser la plage d'adresses IP NAT pour un routage correct vers/depuis le réseau interne. Sans plage d'adresses IP NAT, le trafic atteignant le serveur interne proviendra d'une adresse IP publique.
  4. Si le trafic TCP est visible à l'étape n°2, collectez un fichier HAR via le portail d'accès au navigateur lors de l'accès à l'application en suivant ces étapes:
    1. Depuis le portail d'accès du navigateur, cliquez droit n'importe où sur la page et sélectionnez "Inspecter" dans le menu contextuel.
    2. Cliquez sur le bouton des paramètres situé dans le coin supérieur droit. Cette option est disponible dans Chrome. Si vous utilisez un autre navigateur, passez à l'étape n°4.
    3. Sous Préférences > Global, sélectionnez 'Ouvrir automatiquement DevTools pour les popups'.
    4. Cliquez sur l'application à partir du portail d'accès du navigateur. Un deuxième onglet s'ouvrira. C'est ici que l'enregistrement doit avoir lieu. À moins que votre navigateur n'enregistre à partir de ce deuxième onglet automatiquement (étape n°3), vous devrez effectuer cette action manuellement à l'étape suivante.
    5. Suivez les instructions de Comment collecter les données HAR pour reproduire le problème et collecter le fichier HAR.
    6. Soumettez ces informations au support de Cato pour une enquête plus approfondie. Voir Soumettre des cas au support de Cato
  5. Si le fichier HAR montre une redirection vers un domaine interne, le navigateur externe ne pourra pas le résoudre car il ne effectue pas de résolution DNS avec le réseau interne. C'est actuellement une limitation de la solution d'accès au navigateur, et l'utilisateur doit se connecter à Cato via le Client SDP.

Soumettez ces informations au support de Cato pour une enquête plus approfondie. Voir Soumettre des cas au support de Cato.

L'application web présente des problèmes de formatage

Le formatage de l'application web est problématique, avec des éléments placés de manière désordonnée sur la page, le texte affichant des tailles de police incohérentes et des images apparaissant mal alignées. Ce problème peut surgir lorsqu'un client accède à une application web via le portail d'accès au navigateur en utilisant le protocole HTTP, et le code HTML de l'application web inclut des liens HTTP absolus vers d'autres contenus. Parce que la connexion du portail d'accès au navigateur fonctionne sur HTTPS, les navigateurs web contemporains restreindront l'accès au contenu HTTP, communément appelé "mélange de contenu."

Suivez ces étapes pour vérifier si vous rencontrez ce problème.

  1. Vous pouvez collecter le fichier HAR via le portail d'accès au navigateur lors de l'accès à l'application. Pour obtenir des instructions détaillées, consultez Comment collecter les données HAR.
  2. Si tel est le problème, les outils de développement web afficheront des blocages de contenu mixte, accompagnés d'un avertissement indiquant que la connexion au site web n'est pas sécurisée.
  3. Cliquez droit n'importe où dans la page et sélectionnez "Voir le code source de la page" Cela ouvrira le code source du site web.
  4. Examinez pour tout lien commençant par "http://" tel qu'illustré ci-dessous:
    <link href="http://nms-ubuntuserver.via.catonetworks.com/css/bootstrap.min.css" rel="stylesheet" type="text/css" />
  5. La présence de liens HTTP dans le code source est la raison pour laquelle le navigateur bloque le contenu.

  6. Suivez les suggestions décrites dans Problèmes de formatage pour résoudre ce problème.

Les applications expirent pour Accès par navigateur sans client; les utilisateurs du client SDP ou les utilisateurs de site peuvent accéder normalement.

Le portail se charge, mais les applications derrière ne s'ouvrent pas. Les utilisateurs sur l'application SDP basée sur le client ou les utilisateurs derrière les prises Cato peuvent atteindre tout normalement. Les utilisateurs entrant par Accès par navigateur sans client rencontrent des expirations lorsqu'ils essaient d'ouvrir n'importe quelle application.

Note : L'accès à distance basé sur le navigateur ne prend pas en charge les IPs qui se chevauchent entre une plage d'IP SNAT et une plage d'IP pour le site.

Par exemple Accès par navigateur utilise une plage NAT comme 10.60.10.0/24. En même temps, votre réseau annonce une route plus large, comme 10.0.0.0/8, dans Cato. Parce que 10.60.10.0/24 se trouve à l'intérieur de ce bloc 10.0.0.0/8, la plateforme voit le trafic retourné comme chevauchant avec le sous-réseau propre du site. Quand le trafic essaie de revenir à un utilisateur d'Accès par navigateur, la plateforme le supprime pour éviter de créer une boucle de routage, car la route plus large /8 tirerait le paquet vers le site au lieu de vers l'utilisateur. Ce chevauchement empêche la plateforme d'installer une route de retour propre pour le trafic d'Accès par navigateur.
 

Pour résoudre le problème, validez les routes SNAT et de compte.

  1. Identifiez la plage d'IP SNAT configurée pour Accès par navigateur.

  2. Naviguez vers la Table de routage sous votre compte > réseau. Vérifiez toutes les routes de compte et confirmez qu'aucune ne chevauche avec la plage SNAT. Aucune donnée signifie qu'aucun chevauchement n'existe dans la table de routage. 

  3. Si un chevauchement existe :
    • Ajustez la configuration de routage pour supprimer le conflit.
    • Assurez-vous que les routes annoncées par BGP ne couvrent pas la plage SNAT.

Résolution des problèmes découverts

Mauvaise configuration

Beaucoup des problèmes mentionnés ci-dessus sont liés à la configuration. Une fois que vous avez identifié les zones mal configurées, les résoudre devrait régler le problème.

Changer le sous-domaine pour exclure les caractères spéciaux

Accédez à Accès > Single Sign-On et assurez-vous qu'aucun caractère spécial ne figure dans le champ de sous-domaine. Cette exigence est également mentionnée dans Configuring-the-Browser-Access-Portal. Pour plus d'informations sur l'impact du changement de sous-domaine, consultez Changing-your-Account-Name-and-Subdomain.

Attribuer des licences aux utilisateurs

Accédez à Accès > Utilisateurs > Répertoire des utilisateurs et validez que l'utilisateur accédant au portail d'accès au navigateur est un utilisateur SDP licencié


Pour attribuer une licence à un utilisateur, consultez Assigning-SDP-Licenses-to-Users 

Ajouter une application au portail d'accès au navigateur

Accédez à Portail d'applications > Application et validez que l'application est ajoutée. Consultez Managing-Applications-for-the-Browser-Access-Portal pour obtenir des détails de configuration.

Configurer la politique d'accès pour les utilisateurs autorisés

Accédez à Accès > Portail d'applications > Politique d'accès et validez que l'utilisateur peut accéder aux applications. Pour obtenir des détails de configuration, consultez Defining-the-Browser-Access-Policy

Problèmes de format

La solution implique de modifier le code source de l'application car le navigateur est responsable de bloquer le contenu mixte, pas Cato. Il est conseillé au client de transformer les liens absolus (ceux commençant par http://) dans le code HTML en liens relatifs. Les liens relatifs peuvent être soit relatifs au protocole, soit relatifs à la racine.
Par exemple, si vous avez un lien ressemblant à :

href="http://www.mywebsite.com/css/stylesheet.css"

Un lien relatif au protocole serait comme ceci :

href="//www.mywebsite.com/css/stylesheet.css"

Un lien relatif à la racine ressemblerait à ça :

href="/css/stylesheet.css"

Pour plus d'informations sur les liens absolus et relatifs, vous pouvez vous référer à absolute-vs-relative-urls

Augmentation des cas au Support Cato

Soumettez un ticket de Support avec les résultats des étapes de dépannage décrites ci-dessus. Pour les problèmes liés à l'accès aux applications du portail du navigateur, veuillez également inclure les réponses aux questions suivantes :

  1. Quel est le serveur d'application affecté ? (IIS, Nginx, etc.)
  2. L'application nécessite-t-elle une authentification supplémentaire?
  3. L'utilisateur a-t-il accès aux journaux de l'application ou aux fichiers de configuration ? Si oui, ces journaux capturent-ils le problème ?
  4. Quels sont les emplacements depuis lesquels les utilisateurs se connectent au portail SDP ?
  5. Les utilisateurs peuvent-ils se connecter à l'application lorsqu'ils utilisent le Client Cato ou lorsqu'ils sont derrière un site Socket ?
  6. Y a-t-il un équilibreur de charge/serveur API/firewall entre eux ? 

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 2

0 commentaire