Administratorhandbuch:Squid-Anmeldung: Unterschied zwischen den Versionen

Aktuelle Version vom 16. März 2012, 10:22 Uhr

Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.

Nutzer nur nach Anmeldung im Internet surfen lassen

Anmeldezwang einschalten

Wenn Sie genau wissen wollen, wer auf welcher Seite surft, oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum.

Dabei bezieht sich dieser Anmeldezwang nur auf Seiten im Internet und nicht im schulinternen Netz.

Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit identd 1.3 (für Win9x) und turtle-identd (für W2k und XP) - da aber die genannten identd's nicht immer zuverlässig den Nutzernamen liefern, soll hier eine Lösung mit ldap_auth vorgestellt werden.

Beim Arktur-Schulserver ist diese Möglichkeit bereits vorbereitet. Sie müssen nur die Kommentarzeichen vor den entsprechenden Zeilen in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" entfernen und eines setzen.

   # Wenn sich die Nutzer mit ldap-auth an Squid
   # anmelden sollen, dann müssen die folgenden
   # fünf Zeilen aktiviert werden
   # folgende zwei Zeilen stehen in einer einzigen!
   auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b
   	"o=SCHULE,dc=rg1,c=de" -f "(uid=%s)" 192.168.0.1
   # also bis hierher in eine Zeile!
   auth_param basic children 20
   auth_param basic realm Internetzugang des Realgymnasium 1
   acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0
   http_access allow all2
   
   # und die folgende Zeile ist mit einem #
   # zu deaktivieren!
   # Allow everything else
   # http_access allow localnet

Abbildung: Aktivieren der LDAP-Athentifikation am Proxy

ACHTUNG! Folgender Befehl gehört in eine Zeile:

auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=rg1,c=de" -f "(uid=%s)" 192.168.0.1

my-domain - Das ist durch Ihre Domain zu ersetzen. Sehen Sie dazu ggf. im sysadm-Menü nach. Hier in diesem Beispiel heißt sie "rg1.dd.sn.schule.de". Man benötigt nur den ersten Eintrag rg1 als dc=rg1.

192.168.0.1 - ist gegebenenfalls zu ersetzen, falls Ihr Arktur mit einer abweichenden IP-Nummer installiert wurde.

Achtung: Beide Dateien ("squid.conf" und "squid.conf.in") müssen geändert werden.

Dann starten Sie Squid mit folgendem Befehl neu, damit er von der geänderten Konfiguration erfährt.

 /etc/init.d/squid restart

Wenn alles geklappt hat, so sollte der nächste Aufruf einer Internetseite im Browser so aussehen:

Abbildung: Test mit dem Browser

Ein Nebeneffekt dieser Aktion - im Squidgard wird ab sofort auch immer der Nutzername angezeigt!

Anmeldezwang wieder ausschalten

Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" wieder auszukommentieren. Dafür wird dann wieder die untere Zeile aktiviert:

  # Wenn sich die Nutzer mit ldap-auth an Squid
  # anmelden sollen, dann müssen die folgenden
  # fünf Zeilen aktiviert werden
  # auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b ...
  # auth_param basic children 20
  # auth_param basic realm Internetzugang des Kollegs
  # acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0
  # http_access allow all2
  
  # und die folgende Zeile ist mit einem #
  # zu deaktivieren!
  # Allow everything else
  http_access allow localnet

Kosmetische Erweiterung

Schulname

Sie können statt:

 auth_param basic realm Squid Internet-Proxy-Server

auch:

 auth_param basic realm Internetzugang der ...-schule

also den jeweiligen Schulnamen einsetzen.

Abbildung: Schulname

Auf diese Weise meldet sich dann der Internet-Explorer oder Netscape mit dem Schulnamen.

Abbildung: Passwortabfrage

Die Browser Firefox und Seamonkey (ehemals Mozilla) zeigen dies aber leider in der derzeitigen Version nicht an.

Fehlermeldung

Sollte sich nun ein User nicht anmelden können, erhält er normalerweise diese Fehlermeldung:

Abbildung: Cachezugriffsfehler

Sie können diese Fehlerseite in der Datei "/usr/squid/share/errors/German/ERR_CACHE_ACCESS_DENIED" nun an Ihre Bedürfnisse anpassen.

Abbildung: Cachezugriffsfehler neu

zurück | Hauptseite

@@ Zeile 1: / Zeile 1: @@
 __NOTOC__
-{{Uberarbeiten}}
+{{Archiv}}
-== Nutzer nur nach Anmeldung an SQUID auf Arktur 4 surfen lassen ==
-Wenn Sie genau wissen wollen, wer auf welcher Seite surft, oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum.
+== Nutzer nur nach Anmeldung im Internet surfen lassen ==
-Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit identd 1.3 (für Win9x) und turtle-identd (für W2k und XP) - da aber die genannten identd's nicht immer den Nutzernamen liefern soll hier eine Lösung mit ldap_auth vorgestellt werden.
+=== Anmeldezwang einschalten ===
-Bei Arktur ist diese Möglichkeit eingearbeitet. Sie müssen nur die Kommentarzeichen vor den entsprechenden Zeilen in der Datei /etc/squid/squid.conf und etc/squid/squid.conf.in entfernen und eines setzen.
+Wenn Sie genau wissen wollen, [[Tools:Admin2 | wer auf welcher Seite surft]], oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum.
+Dabei bezieht sich dieser Anmeldezwang nur auf Seiten im Internet und '''nicht''' im schulinternen Netz.
+Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit [http://identd.sourceforge.net/ identd 1.3] (für Win9x) und [ftp://ftp.univie.ac.at/mirror/simtelnet/win95/winsock/t-ide211.zip turtle-identd] (für W2k und XP) - da aber die genannten identd's nicht immer zuverlässig den Nutzernamen liefern, soll hier eine Lösung mit ldap_auth vorgestellt werden.
+Beim Arktur-Schulserver ist diese Möglichkeit bereits vorbereitet. Sie müssen nur die Kommentarzeichen vor den entsprechenden Zeilen in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" entfernen und eines setzen.
+<pre>
     # Wenn sich die Nutzer mit ldap-auth an Squid
     # anmelden sollen, dann müssen die folgenden
@@ Zeile 15: / Zeile 21: @@
     # folgende zwei Zeilen stehen in einer einzigen!
     auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b
-   "o=SCHULE,dc=test,c=de" -f "(uid=%s)" localhost:389
+   	"o=SCHULE,dc=rg1,c=de" -f "(uid=%s)" 192.168.0.1
-    # also bis hierher neu eine Zeile!
+    # also bis hierher in eine Zeile!
     auth_param basic children 20
-    auth_param basic realm Internetzugang des Kollegs
+    auth_param basic realm Internetzugang des Realgymnasium 1
     acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0
     http_access allow all2
@@ Zeile 26: / Zeile 32: @@
     # Allow everything else
     # http_access allow localnet
+</pre>
-[[Bild:Bild]]
+:[[Bild:Ldapauth1.png|Aktivieren der LDAP-Athentifikation am Proxy]]
+:''Abbildung: Aktivieren der LDAP-Athentifikation am Proxy''
-'''ACHTUNG!'''
-folgende Zeile gehört in eine Zeile:
+'''ACHTUNG!''' Folgender Befehl gehört in eine Zeile:
-''auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=my-domain,c=de" -f "(uid=%s)" localhost:389''
+''auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=rg1,c=de" -f "(uid=%s)" 192.168.0.1''
-also ohne Zeilenumbruch in exakt eine einzige Zeile, mit einem Leerzeichen zwischen -b und "o=SCHULE... !
+''my-domain'' - Das ist durch Ihre Domain zu ersetzen. Sehen Sie dazu ggf. im sysadm-Menü nach. Hier in diesem Beispiel heißt sie "rg1.dd.sn.schule.de". Man benötigt nur den ersten Eintrag ''rg1'' als '''dc=rg1'''.
-''my-domain'' - Das was Sie als Ihre Domain eingetragen haben.
+''192.168.0.1'' - ist gegebenenfalls zu ersetzen, falls Ihr Arktur mit einer abweichenden IP-Nummer installiert wurde.
-                Sehen Sie dazu ggf. im sysadm-Menü nach.
-                Bei mir heißt sie "test.fib". Man benötigt nur das ''test''.
-                Oder sollten Sie "jakobus.ms" genommen haben, dann nur
-                das ''jakobus''.
-''localhost:389'' - Damit müssen Sie die 192.168.0.1 ersetzen.
+'''Achtung:''' Beide Dateien ("squid.conf" und "squid.conf.in") müssen geändert werden.
-                    (in der suid.conf.in der Beta 42)
+Dann starten Sie Squid mit folgendem Befehl neu, damit er von der geänderten Konfiguration erfährt.
-Sollten Sie pam_auth benutzen wollen, so muss die erste Zeile:
+  /etc/init.d/squid restart
-   auth_param basic program /usr/squid/bin/pam_auth
+Wenn alles geklappt hat, so sollte der nächste Aufruf einer Internetseite im Browser so aussehen:
-lauten.
+:[[Bild:Squidauthent4.png|Test mit dem Browser]]
+:
+:''Abbildung: Test mit dem Browser''
-Bild
+Ein Nebeneffekt dieser Aktion - im Squidgard wird ab sofort auch immer der Nutzername angezeigt!
-Dann Squid neu starten.
+=== Anmeldezwang wieder ausschalten ===
-  Arktur:/etc/squid # /etc/init.d/squid restart
+Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" wieder auszukommentieren. Dafür wird dann wieder die untere Zeile aktiviert:
-  Beende Proxy-Server Squid - Noch aktiv - bitte warten!.   erfolgt
-  Starte Proxy-Server Squid                                 erfolgt
-  Arktur:/etc/squid #
+   # Wenn sich die Nutzer mit ldap-auth an Squid
+   # anmelden sollen, dann müssen die folgenden
+   # fünf Zeilen aktiviert werden
+   # auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b ...
+   # auth_param basic children 20
+   # auth_param basic realm Internetzugang des Kollegs
+   # acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0
+   # http_access allow all2
+   # und die folgende Zeile ist mit einem #
+   # zu deaktivieren!
+   # Allow everything else
+   http_access allow localnet
-Wenn alles geklappt hat, so sollte der nächste Aufruf einer Internetseite im Browser so aussehen:
-Bild
+=== Kosmetische Erweiterung ===
+==== Schulname ====
+Sie können statt:
+  auth_param basic realm Squid Internet-Proxy-Server
+auch:
+  auth_param basic realm Internetzugang der ...-schule
+also den jeweiligen Schulnamen einsetzen.
-Ein Nebeneffekt dieser Aktion - im Squidgard wird damit auch immer der Nutzername angezeigt!
-Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in der squid.conf.in auszukommentieren, so wie in der squid.conf.in angegeben.
+:[[Bild:Ldapauth2.png|Schulname]]
+:''Abbildung: Schulname''
-Bild
+Auf diese Weise meldet sich dann der Internet-Explorer oder Netscape mit dem Schulnamen.
-Nach einem Neustart meldet dann der IE:
-Bild
+:[[Bild:Iemeldung.png|Passwortabfrage]]
+:''Abbildung: Passwortabfrage''
-Falls man noch in der 3. Zeile das "Squid proxy-caching web server" durch "Internetzugang des Kollegs" ersetzt hat!
+Die Browser Firefox und Seamonkey (ehemals Mozilla) zeigen dies aber leider in der derzeitigen Version nicht an.
-also statt:
-  auth_param basic realm Squid proxy-caching web server
+==== Fehlermeldung ====
-kann man auch:
+Sollte sich nun ein User nicht anmelden können, erhält er normalerweise diese Fehlermeldung:
-  auth_param basic realm Internetzugang des Kollegs
-oder den jeweiligen Schulnamen einsetzen!
+:[[Bild:Cachezugriffsfehler.png|Cachezugriffsfehler]]
+:''Abbildung: Cachezugriffsfehler''
-Firefox und Mozilla zeigen dies aber nicht an - der IE oder Netscape 4.x schon.
+Sie können diese Fehlerseite in der Datei "/usr/squid/share/errors/German/ERR_CACHE_ACCESS_DENIED" nun an Ihre Bedürfnisse anpassen.
-Sollte sich nun ein User nicht anmelden können, erhält er normalerweise:
-Bild
+:[[Bild:Cachezugriffsfehlerneu.png|Cachezugriffsfehler neu]]
+:''Abbildung: Cachezugriffsfehler neu''
-Sie können diese Fehlerseite unter /usr/squid/share/errors/German/ERR_CACHE_ACCESS_DENIED an Ihre Bedürfnisse anpassen!
-Bild
 ----
 <div align="right">[[Administratorhandbuch|zurück]] | [[Hauptseite]]</div>
+[[Kategorie:ArchivArktur40]]