Jun 14, 2010

5940

Squid mit benutzername

Proxyserver mit Benutzername statt IP-Adresse verwenden

Hallo zusammen,

ich will das mein Proxyserver (Squid 2.7) statt IP-Adresse Username für authen. des Users nimmt.
Bis jetzt habe ich so gemacht das ich IP-Adresse geblockt oder Freigegeben habe. Wenn die IP-Adresse niergends eingetragen war, mussten die User per BN: und PW: sich anmelden.
Nun ja, da paar Benutzer sich an verschiedene PC´s anmelden und auch im Internet surfen dürfen, kommt das blod wenn Sie jedes mal BN und PW eingeben müssen.
Weißt jemand wie man das machen könnte???
Das muss doch was geben sowas wie Whitelist und Blacklist zu lösen, den nicht jeder User darf im Netz surfen...

mfg

Please also mark the comments that contributed to the solution of the article

Content-Key: 144802

Url: https://administrator.de/contentid/144802

Printed on: April 19, 2024 at 09:04 o'clock

18 Comments

Latest comment

Moin!

Zitat von @danijel:
ich will das mein Proxyserver (Squid 2.7) statt IP-Adresse Username für authen. des Users nimmt.

check

Bis jetzt habe ich so gemacht das ich IP-Adresse geblockt oder Freigegeben habe. Wenn die IP-Adresse niergends eingetragen war,
mussten die User per BN: und PW: sich anmelden.

check.
Eingangsfrage IMHO erfüllt.

Nun ja, da paar Benutzer sich an verschiedene PC´s anmelden und auch im Internet surfen dürfen, kommt das blod wenn Sie
jedes mal BN und PW eingeben müssen.
Weißt jemand wie man das machen könnte???

Wie man was machen könnte?
Sorry, ich werde aus deiner Frage grad nicht schlau.

Hallo

squid ntlm_auth sollte reichen wenn du active directory / ldap hast.

ne hab kein AD oder LDAP
Hab hier locale Domäne. Die User die am verschiedene Arbeitsplätze arbeiten, habe ich dort ein Konto von Hand eingerichtet.
Deswegen brauch ich was wo ich statt IP-Adresse oder PC-Name, den Benutzername des User eintragen. Bis jetzt wurde ja mit IP-Adressen geregelt, da der User immer auf einem PC gearbeitet hat.......

Hallo

Dann schau dir mal Kapitel 7 und Kapitel 8 im Squid-Handbuch an, da steht eigentlich alles erklärt. Du benötigst proxy_auth als acl.

Grüße

das kenn ich natürlich schon.
Mein Server tut ja auch brav nur es kommt immer dieses Anmeldenfenster beim starten eines Webbrowser und verlang BN: und PW:
Das Anmeldefenster soll eben nicht kommen

Mit proxy_auth habe ich auch realisiert.

Den Browser User/Pass speichern lassen?

Hallo

Aha, ok, jetzt habe ich verstanden. Du möchstest zwar an Benutzername/Passwort authentifizieren lassen, aber automatisch ohne Eingabe, quasi als Single Sign-on.?! Mal ganz dumm gedacht: vielleicht mit gleichem Name/Passwort wie der Windows-Benutzer? Für die Kombination mit AD gäbe es auf jeden Fall 1000e Anleitungen ...
Mehr fällt mir dazu leider nicht ein.

Grüße

@ connor
bingooooooooooooooooo

BN und PW ist das gleiche wie bei Windows anmeldung.
HIntergrund:
bin erst dabei auf AD umstellen aber ich hab noch kein exchange Server. Manche Kollegen haben paar GB pst Outlook-Datei. Da ist nix mit Domäne Anmeldung.
Klar wenn ich Exchange habe und alle auf AD umgestellt habe, mach ich es Squit mit AD.
Bis dahin muss ich eben anderes helfen.

Ähm, eine Umstellung auf AD kann auch ohne Exchange geschehen, diesen kann man später nachinstallieren.

Ich nutz Squid mit SquidGuard und AD und es läuft wunderbar, auch ohne Exchange.

wie sieht den dann deine config aus mit AD.
So genau kapiere ich das nicht. Wo werden dann die definition gemach welche User surfen darf und wer nicht?

Squid:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN+InternetAccess
auth_param ntlm children 48
auth_param ntlm keep_alive on
auth_param basic program  /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=DOMAIN+InternetAccess
auth_param basic children 48
auth_param basic realm FIRMA Internetzugang - Berechtigungspruefung
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard2.conf
acl password proxy_auth REQUIRED
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443          # https
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 8080
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl lan src 192.168.0.0/24
acl vpn src 10.1.251.0/24
acl wlan src 10.0.1.0/24
acl appsrv src 192.168.0.8/32
acl secnet dst 10.1.3.0/24
acl innendienst src 192.168.0.15/32
acl msn1 req_mime_type -i ^application/x-msn-messenger$
acl msn2 rep_mime_type -i ^application/x-msn-messenger$
acl generali dstdomain .generali.de
http_access deny msn1
http_access deny msn2
#never_direct allow all
http_access allow generali all
#http_access allow appsrv
http_access allow password
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128
#cache_peer     localhost       parent  8080    0       default
hierarchy_stoplist cgi-bin ?
cache_mem 1024 MB
cache_dir diskd /var/spool/squid 8192 64 256
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
via on
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
cache_mgr webmaster
error_directory /usr/share/squid/errors/German
forwarded_for on

Squidguard:

dbhome /var/lib/squidguard/db
logdir /var/log/squid

src server {
        ip      192.168.0.8
}

src minimal {
        user    azubi1
}

src innendienst {
        user    mitarbeiter3
}

src allowwebmail {
        user    mitarbeiter1 mitarbeiter2
}
src chef {
        user    chef1 chef2
}
dest standard {
        domainlist      standard/domains
}
dest gesellschaften {
        domainlist      gesellschaften/domains
}
dest auskunft {
        domainlist      auskunft/domains
}
dest webmail {
        domainlist      webmail/domains
        urllist         webmail/urls
}

dest downloads {
        domainlist      downloads/domains
        urllist         downloads/urls
}

dest warez {
        domainlist      warez/domains
        urllist         warez/urls
}

dest socialnet {
        domainlist      socialnet/domains
        urllist         socialnet/urls
}


acl {
        server {
                pass auskunft gesellschaften standard none
        }
        allowwebmail {
                pass !socialnet webmail any
        }
        innendienst {
                pass !webmail !downloads !warez !socialnet any
        }
        chef {
                pass any
        }
        minimal {
                pass auskunft gesellschaften standard none
        }
        default {
        pass !webmail !downloads !warez any
        redirect        http://proxy.firma.local/block.php?username=%i&ip=%a&URI=%u&src=%s&dst=%t&pc=%n
}
}

Damit kann ich über eine Gruppe in der AD den Zugang genehmigen oder nicht und ich habe die Möglichkeit, über SquidGuard die Berechtigungen zu steuern.

danke

jetzt gehts an studiren der config.

Zu dem gehts das nur mit samba und Kerb. stimmt??
und im Samba geben ich dann meine Domäne der Windows Kiste....

nach dem diesem workshop
scheit so zu laufen
http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/04/Heirate-mich

gruß
danijel

Richtig, einmal den Proxyserver mit Samba, Winbind und Kerberos in die Domäne hängen und dann hat man Zugriff auf die Benutzerdaten und kann diese überprüfen. Mit etwas Übung ist das ne Sache von Minuten.

hehe klar mit etwas "übung" aber die habe ich leider nicht bzw. hab ich nie sowas gemacht. Habe damals eben mit IP-Adresse gelöst, da ich keine AD habe. Jetzt wirds halt anderes gemacht.
muss erst mal lesen lesen lesen um zu verstehen wie das anläuft, weil bis jetzt ist mir das immer noch nicht so logisch geworden.
Aber wenn man den Anfang weisst geht das irgendwie vorwärts.

morgen,

sorry musst dich weiter nerfen

bis jetzt habe ich es hin gekriegt mit samba und kerberos. Mit wbinfo -a... krieg ich entsprechende Infos *juhu*

Nur was muss ich auf meine Windows Kiste den einstellen??
Eine OU erstellen oder wie und was muss ich machen. Soll ja nur zwei Gruppe geben. Einmal Internet JA und einmal Internet NEIN.

mfg
danijel

Das ist eine ganz normale Benutzergruppe, keine OU.

ahaa
also eine Benutzergruppe z.B. "squid" erstellen, dort alle user eintragen die im Internet surfen dürfen. danach im squid.conf
cache_effective group squid eintragen
ist das richtig nach meiner 3 st. goggel arbeit ????

nein, ist falsch.

Du erstellst eine Windows-Gruppe, die du InternetAccess (so heißt die bei mir) nennen kannst und in meiner Config findest du an zwei Stellen, relativ weit oben, DOMAIN+InternetAccess, dort trägst du dann den Namen der Domäne+den Namen der Gruppe ein.

German Question Linux

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

Check of ZFW Firewallgleixnerd - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment