Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Squid mit benutzername

Frage Linux

Mitglied: danijel

danijel (Level 1) - Jetzt verbinden

14.06.2010 um 15:15 Uhr, 4869 Aufrufe, 18 Kommentare

Proxyserver mit Benutzername statt IP-Adresse verwenden

Hallo zusammen,

ich will das mein Proxyserver (Squid 2.7) statt IP-Adresse Username für authen. des Users nimmt.
Bis jetzt habe ich so gemacht das ich IP-Adresse geblockt oder Freigegeben habe. Wenn die IP-Adresse niergends eingetragen war, mussten die User per BN: und PW: sich anmelden.
Nun ja, da paar Benutzer sich an verschiedene PC´s anmelden und auch im Internet surfen dürfen, kommt das blod wenn Sie jedes mal BN und PW eingeben müssen.
Weißt jemand wie man das machen könnte???
Das muss doch was geben sowas wie Whitelist und Blacklist zu lösen, den nicht jeder User darf im Netz surfen...

Mit freundlichen Grüßen
Mitglied: masterofdisaster09
14.06.2010 um 15:43 Uhr
Moin!

Zitat von danijel:
ich will das mein Proxyserver (Squid 2.7) statt IP-Adresse Username für authen. des Users nimmt.
check

Bis jetzt habe ich so gemacht das ich IP-Adresse geblockt oder Freigegeben habe. Wenn die IP-Adresse niergends eingetragen war,
mussten die User per BN: und PW: sich anmelden.
check.
Eingangsfrage IMHO erfüllt.

Nun ja, da paar Benutzer sich an verschiedene PC´s anmelden und auch im Internet surfen dürfen, kommt das blod wenn Sie
jedes mal BN und PW eingeben müssen.
Weißt jemand wie man das machen könnte???
Wie man was machen könnte?
Sorry, ich werde aus deiner Frage grad nicht schlau.
Bitte warten ..
Mitglied: 45877
14.06.2010 um 15:52 Uhr
Hallo

squid ntlm_auth sollte reichen wenn du active directory / ldap hast.
Bitte warten ..
Mitglied: danijel
14.06.2010 um 16:01 Uhr
ne hab kein AD oder LDAP
Hab hier locale Domäne. Die User die am verschiedene Arbeitsplätze arbeiten, habe ich dort ein Konto von Hand eingerichtet.
Deswegen brauch ich was wo ich statt IP-Adresse oder PC-Name, den Benutzername des User eintragen. Bis jetzt wurde ja mit IP-Adressen geregelt, da der User immer auf einem PC gearbeitet hat.......
Bitte warten ..
Mitglied: Connor1980
14.06.2010 um 16:13 Uhr
Hallo

Dann schau dir mal Kapitel 7 und Kapitel 8 im Squid-Handbuch an, da steht eigentlich alles erklärt. Du benötigst proxy_auth als acl.

Grüße
Bitte warten ..
Mitglied: danijel
14.06.2010 um 16:24 Uhr
das kenn ich natürlich schon.
Mein Server tut ja auch brav nur es kommt immer dieses Anmeldenfenster beim starten eines Webbrowser und verlang BN: und PW:
Das Anmeldefenster soll eben nicht kommen

Mit proxy_auth habe ich auch realisiert.
Bitte warten ..
Mitglied: masterofdisaster09
14.06.2010 um 16:40 Uhr
Den Browser User/Pass speichern lassen?
Bitte warten ..
Mitglied: Connor1980
14.06.2010 um 18:54 Uhr
Hallo

Aha, ok, jetzt habe ich verstanden. Du möchstest zwar an Benutzername/Passwort authentifizieren lassen, aber automatisch ohne Eingabe, quasi als Single Sign-on.?! Mal ganz dumm gedacht: vielleicht mit gleichem Name/Passwort wie der Windows-Benutzer? Für die Kombination mit AD gäbe es auf jeden Fall 1000e Anleitungen ...
Mehr fällt mir dazu leider nicht ein.

Grüße
Bitte warten ..
Mitglied: danijel
14.06.2010 um 19:29 Uhr
@ connor
bingooooooooooooooooo

BN und PW ist das gleiche wie bei Windows anmeldung.
HIntergrund:
bin erst dabei auf AD umstellen aber ich hab noch kein exchange Server. Manche Kollegen haben paar GB pst Outlook-Datei. Da ist nix mit Domäne Anmeldung.
Klar wenn ich Exchange habe und alle auf AD umgestellt habe, mach ich es Squit mit AD.
Bis dahin muss ich eben anderes helfen.
Bitte warten ..
Mitglied: tikayevent
14.06.2010 um 20:48 Uhr
Ähm, eine Umstellung auf AD kann auch ohne Exchange geschehen, diesen kann man später nachinstallieren.

Ich nutz Squid mit SquidGuard und AD und es läuft wunderbar, auch ohne Exchange.
Bitte warten ..
Mitglied: danijel
15.06.2010 um 09:44 Uhr
wie sieht den dann deine config aus mit AD.
So genau kapiere ich das nicht. Wo werden dann die definition gemach welche User surfen darf und wer nicht?
Bitte warten ..
Mitglied: tikayevent
15.06.2010 um 10:16 Uhr
Squid:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN+InternetAccess 
auth_param ntlm children 48 
auth_param ntlm keep_alive on 
auth_param basic program  /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=DOMAIN+InternetAccess 
auth_param basic children 48 
auth_param basic realm FIRMA Internetzugang - Berechtigungspruefung 
auth_param basic credentialsttl 2 hours 
auth_param basic casesensitive off 
#external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl 
url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard2.conf 
acl password proxy_auth REQUIRED 
acl all src all 
acl manager proto cache_object 
acl localhost src 127.0.0.1/32 
acl to_localhost dst 127.0.0.0/8 
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network 
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network 
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network 
acl SSL_ports port 443          # https 
acl Safe_ports port 80          # http 
acl Safe_ports port 21          # ftp 
acl Safe_ports port 443         # https 
acl Safe_ports port 8080 
acl purge method PURGE 
acl CONNECT method CONNECT 
http_access allow manager localhost 
http_access deny manager 
http_access allow purge localhost 
http_access deny purge 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
acl lan src 192.168.0.0/24 
acl vpn src 10.1.251.0/24 
acl wlan src 10.0.1.0/24 
acl appsrv src 192.168.0.8/32 
acl secnet dst 10.1.3.0/24 
acl innendienst src 192.168.0.15/32 
acl msn1 req_mime_type -i ^application/x-msn-messenger$ 
acl msn2 rep_mime_type -i ^application/x-msn-messenger$ 
acl generali dstdomain .generali.de 
http_access deny msn1 
http_access deny msn2 
#never_direct allow all 
http_access allow generali all 
#http_access allow appsrv 
http_access allow password 
http_access allow localhost 
http_access deny all 
icp_access allow localnet 
icp_access deny all 
http_port 3128 
#cache_peer     localhost       parent  8080    0       default 
hierarchy_stoplist cgi-bin ? 
cache_mem 1024 MB 
cache_dir diskd /var/spool/squid 8192 64 256 
access_log /var/log/squid/access.log squid 
refresh_pattern ^ftp:           1440    20%     10080 
refresh_pattern ^gopher:        1440    0%      1440 
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0 
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880 
refresh_pattern .               0       20%     4320 
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] 
upgrade_http0.9 deny shoutcast 
via on 
acl apache rep_header Server ^Apache 
broken_vary_encoding allow apache 
extension_methods REPORT MERGE MKACTIVITY CHECKOUT 
cache_mgr webmaster 
error_directory /usr/share/squid/errors/German 
forwarded_for on
Squidguard:
dbhome /var/lib/squidguard/db 
logdir /var/log/squid 
 
src server { 
        ip      192.168.0.8 
 
src minimal { 
        user    azubi1 
 
src innendienst { 
        user    mitarbeiter3 
 
src allowwebmail { 
        user    mitarbeiter1 mitarbeiter2 
src chef { 
        user    chef1 chef2 
dest standard { 
        domainlist      standard/domains 
dest gesellschaften { 
        domainlist      gesellschaften/domains 
dest auskunft { 
        domainlist      auskunft/domains 
dest webmail { 
        domainlist      webmail/domains 
        urllist         webmail/urls 
 
dest downloads { 
        domainlist      downloads/domains 
        urllist         downloads/urls 
 
dest warez { 
        domainlist      warez/domains 
        urllist         warez/urls 
 
dest socialnet { 
        domainlist      socialnet/domains 
        urllist         socialnet/urls 
 
 
acl { 
        server { 
                pass auskunft gesellschaften standard none 
        allowwebmail { 
                pass !socialnet webmail any 
        innendienst { 
                pass !webmail !downloads !warez !socialnet any 
        chef { 
                pass any 
        minimal { 
                pass auskunft gesellschaften standard none 
        default { 
        pass !webmail !downloads !warez any 
        redirect        http://proxy.firma.local/block.php?username=%i&ip=%a&URI=%u&src=%s&dst=%t&pc=%n 
}
Damit kann ich über eine Gruppe in der AD den Zugang genehmigen oder nicht und ich habe die Möglichkeit, über SquidGuard die Berechtigungen zu steuern.
Bitte warten ..
Mitglied: danijel
15.06.2010 um 10:39 Uhr
danke
jetzt gehts an studiren der config.

Zu dem gehts das nur mit samba und Kerb. stimmt??
und im Samba geben ich dann meine Domäne der Windows Kiste....

nach dem diesem workshop
scheit so zu laufen
http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/04/Heirate-mich

gruß
danijel
Bitte warten ..
Mitglied: tikayevent
15.06.2010 um 11:08 Uhr
Richtig, einmal den Proxyserver mit Samba, Winbind und Kerberos in die Domäne hängen und dann hat man Zugriff auf die Benutzerdaten und kann diese überprüfen. Mit etwas Übung ist das ne Sache von Minuten.
Bitte warten ..
Mitglied: danijel
15.06.2010 um 11:35 Uhr
hehe klar mit etwas "übung" aber die habe ich leider nicht bzw. hab ich nie sowas gemacht. Habe damals eben mit IP-Adresse gelöst, da ich keine AD habe. Jetzt wirds halt anderes gemacht.
muss erst mal lesen lesen lesen um zu verstehen wie das anläuft, weil bis jetzt ist mir das immer noch nicht so logisch geworden.
Aber wenn man den Anfang weisst geht das irgendwie vorwärts.
Bitte warten ..
Mitglied: danijel
16.06.2010 um 08:34 Uhr
morgen,

sorry musst dich weiter nerfen

bis jetzt habe ich es hin gekriegt mit samba und kerberos. Mit wbinfo -a... krieg ich entsprechende Infos *juhu*

Nur was muss ich auf meine Windows Kiste den einstellen??
Eine OU erstellen oder wie und was muss ich machen. Soll ja nur zwei Gruppe geben. Einmal Internet JA und einmal Internet NEIN.

Mit freundlichen Grüßen
danijel
Bitte warten ..
Mitglied: tikayevent
16.06.2010 um 10:01 Uhr
Das ist eine ganz normale Benutzergruppe, keine OU.
Bitte warten ..
Mitglied: danijel
16.06.2010 um 11:19 Uhr
ahaa
also eine Benutzergruppe z.B. "squid" erstellen, dort alle user eintragen die im Internet surfen dürfen. danach im squid.conf
cache_effective group squid eintragen
ist das richtig nach meiner 3 st. goggel arbeit ????
Bitte warten ..
Mitglied: tikayevent
16.06.2010 um 11:51 Uhr
nein, ist falsch.

Du erstellst eine Windows-Gruppe, die du InternetAccess (so heißt die bei mir) nennen kannst und in meiner Config findest du an zwei Stellen, relativ weit oben, DOMAIN+InternetAccess, dort trägst du dann den Namen der Domäne+den Namen der Gruppe ein.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
gelöst Nervige Eingabeaufforderung für Benutzername und Kennwort Eingabe (7)

Frage von Freddy0013 zum Thema Windows 7 ...

Firewall
PfSense + Squid + ClamAV (5)

Frage von mrserious73 zum Thema Firewall ...

Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...