Zum aktuellsten Beitrag
Proxy-Umgehung verhindern
  • verfasst: 12.11.2006, 18:32
     
    Forenrang:
    Normaler Benutzer Normaler Benutzer
    registriert:
     November 2006
    Status:
    offline
    letzter Besuch:
    21.03.07
    Beiträge:
    6
    Hallo, liebe Fachfrauen und -männer!

    Gibt es eine keine Möglichkeit, einen (transparenten) Proxy einzusetzen und trotzdem eine Authentifizierung durchführen zu lassen? - Zwar kann ich meine Benutzer mit einem IP-TABLES - REDIRECT dazu zwingen, etwa bei lokaler Anmeldung auf einem Windows-Rechner, über den Squid zu gehen, eine Zugriffsbeschränkung auf ausschlie�lich im LDAP existierende Benutzer ist aber so nicht möglich...! Das erscheint mir als riesengro�e Unzulänglichkeit in meinem System, wo zahlreiche BenutzerInnen mit eigenen Laptops über meinen Server ins Netz gehen wollen.
    Vielleicht hat ja irgendjemand dazu eine Idee?!

    LG,

    Sebastian
  • verfasst: 12.11.2006, 19:31
       
    Lars
    Forenrang:
    Site Admin Site Admin
    registriert:
     November 2003
    Status:
    offline
    letzter Besuch:
    27.11.09
    Beiträge:
    526
    Wie schauen denn deine ACLs aus?

    Normalerweise solltest du - wenn es denn überhaupt bei einem transparaentem Proxy geht (ich kann das grad nicht testen) - das ebenso wie bei einem "nicht-transparentem" Proxy machen können. Beispiel:

    authenticate_program /usr/sbin/squid_ldap_auth -b dc=Schule,dc=de -f (&(gidNumber=100))(uid=%s)) -u uid LDAP

    Hiermit sollten alle Nutzer, die der Gruppe mit der ID 100 angehören und sich authentifiziert haben, surfen dürfen. Dazu fehlen dann aber noch die passenden ACLs:

    acl password proxy_auth REQUIRED
    acl all src 0/0
    http_access allow password
    http_access deny all

    ...in dieser Reihenfolge.

    Ich hoffe das reicht dir als erster Tip?

    Viele Grü�e,
    Lars



  • verfasst: 14.11.2006, 19:18
     
    Forenrang:
    Normaler Benutzer Normaler Benutzer
    registriert:
     November 2006
    Status:
    offline
    letzter Besuch:
    21.03.07
    Beiträge:
    6
    Lieber Lars!

    Danke für die rasche Antwort! icon_smile
    Habe die Lösung noch nicht ausprobiert, erscheint mir jedoch logisch! Hätte ich selbst auch draufkommen können!
    (Dumme) Zusatzfrage: Um zu verhidern, dass Maschinen, die NICHT in der Domäne hängen und den Proxy im Browser NICHT eingetragen haben, Squid umgehen können, brauche ich aber natürlich trotzdem die IP-TABLES mit dem REDIRECT-Befehl, oder?! Eigentlich eh klar, wenn ichs mir überlege...!

    LG aus Ã?,


    Sebastian.
  • verfasst: 14.11.2006, 20:24
       
    Lars
    Forenrang:
    Site Admin Site Admin
    registriert:
     November 2003
    Status:
    offline
    letzter Besuch:
    27.11.09
    Beiträge:
    526
    Hallo Sebastian

    libertaDanke für die rasche Antwort! icon_smile
    Habe die Lösung noch nicht ausprobiert, erscheint mir jedoch logisch! Hätte ich selbst auch draufkommen können!


    Bitte, gern geschehen. Wie war das mit dem Wald und den Bäumen... icon_wink

    Zitat(Dumme) Zusatzfrage: Um zu verhidern, dass Maschinen, die NICHT in der Domäne hängen und den Proxy im Browser NICHT eingetragen haben, Squid umgehen können, brauche ich aber natürlich trotzdem die IP-TABLES mit dem REDIRECT-Befehl, oder?! Eigentlich eh klar, wenn ichs mir überlege...!


    Nö - wenn der Rechner auf welchem Squid läuft der einzige mit einem direkten Internetzugang ist (also im allgemeinen: wenn dieser Rechner über eine zweite Netzwerkkarte an einem Router hängt), dann M�SSEN alle Rechner im Internen Netz diesen als Gateway nutzen. ...und wenn du dann auf diesem Masquerading deaktivierst, dann M�SSEN alle Rechner über den Proxy.

    CU,
    Lars
  • verfasst: 15.11.2006, 20:54
     
    Forenrang:
    Profi Profi
    registriert:
     Februar 2005
    Status:
    offline
    letzter Besuch:
    01.12.09
    Beiträge:
    97
    Hallo Sebastian,
    hallo Lars,

    wird es im OSS 2.5 die entsprechenden Einstellungen geben, dass dieser als transparenter Proxy läuft?

    bzw. Gegenfrage:
    Wie und wo muss ich a) die IPtables im OSS 2.1 einstellen damit ich den OSS als transp. Proxy nutzen kann?
    �nderungen in /etc/sysconfig/SuseFirewall2 werden ja u.U. bei Udates überschrieben, oder.

    Kleiner Hinweis meinerseits:
    Als erste Ma�nahme, dass nicht jedes anonyme Notebook surfen kann, habe ich in der squid.conf eingetragen, dass nur in Räumen regsitrierte Rechner ins INet dürfen, d.h. der Bereich 172.18.1.x (DHCP-Pool) darf nicht nach drau�en.

    Viele Grü�e
    Holger

 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

Was bei Windows der Umfang eines "kompletten Betriebssystems" ist, nennt man bei Linux eine Rescuedisk.

-- David Kastrup in de.comp.os.unix.linux.misc