Administratorhandbuch:Squid-Anmeldung: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
(Bilder neu) |
||
| Zeile 3: | Zeile 3: | ||
== Nutzer nur nach Anmeldung | == Nutzer nur nach Anmeldung im Internet surfen lassen == | ||
=== Anmeldezwang einschalten === | |||
Wenn Sie genau wissen wollen, wer auf welcher Seite surft, oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum. | Wenn Sie genau wissen wollen, wer auf welcher Seite surft, oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum. | ||
Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit identd 1.3 (für Win9x) und turtle-identd (für W2k und XP) - da aber die genannten identd's nicht immer den Nutzernamen liefern soll hier eine Lösung mit ldap_auth vorgestellt werden. | Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit identd 1.3 (für Win9x) und turtle-identd (für W2k und XP) - da aber die genannten identd's nicht immer zuverlässig den Nutzernamen liefern, soll hier eine Lösung mit ldap_auth vorgestellt werden. | ||
Beim Arktur-Schulserver ist diese Möglichkeit bereits vorbereitet. Sie müssen nur die Kommentarzeichen vor den entsprechenden Zeilen in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" entfernen und eines setzen. | |||
# Wenn sich die Nutzer mit ldap-auth an Squid | # Wenn sich die Nutzer mit ldap-auth an Squid | ||
| Zeile 29: | Zeile 31: | ||
:[[Bild: | :[[Bild:Ldapauth1.png|Aktivieren der LDAP-Athentifikation am Proxy]] | ||
: | : | ||
:''Abbildung: Aktivieren der LDAP-Athentifikation am Proxy'' | :''Abbildung: Aktivieren der LDAP-Athentifikation am Proxy'' | ||
'''ACHTUNG!''' | '''ACHTUNG!''' Folgender Befehl gehört in eine Zeile: | ||
''auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=my-domain,c=de" -f "(uid=%s)" localhost:389'' | ''auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=my-domain,c=de" -f "(uid=%s)" localhost:389'' | ||
''my-domain'' - Das ist durch Ihre Domain zu ersetzen. Sehen Sie dazu ggf. im sysadm-Menü nach. Hier in diesem Beispiel heißt sie "rg1.dd.sn.schule.de". Man benötigt nur dem ersten Eintrag ''rg1'' als '''dc=rg1'''. | |||
'' | ''localhost:389'' - Damit müssen Sie die 192.168.0.1 ersetzen. | ||
'' | '''Achtung:''' Beide Dateien ("squid.conf" und "squid.conf.in") müssen geändert werden. | ||
Dann starten Sie Squid mit folgendem Befehl neu, damit er von der geänderten Konfiguration erfährt. | Dann starten Sie Squid mit folgendem Befehl neu, damit er von der geänderten Konfiguration erfährt. | ||
| Zeile 51: | Zeile 53: | ||
:[[Bild: | :[[Bild:Squidauthent4.png|Test mit dem Browser]] | ||
: | : | ||
:''Abbildung: Test mit dem Browser'' | :''Abbildung: Test mit dem Browser'' | ||
| Zeile 58: | Zeile 60: | ||
Ein Nebeneffekt dieser Aktion - im Squidgard wird ab sofort auch immer der Nutzername angezeigt! | Ein Nebeneffekt dieser Aktion - im Squidgard wird ab sofort auch immer der Nutzername angezeigt! | ||
Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in | === Anmeldezwang wieder ausschalten === | ||
Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" wieder auszukommentieren. Dafür wird dann wieder die untere Zeile aktiviert: | |||
# Wenn sich die Nutzer mit ldap-auth an Squid | # Wenn sich die Nutzer mit ldap-auth an Squid | ||
| Zeile 71: | Zeile 75: | ||
# und die folgende Zeile ist mit einem # | # und die folgende Zeile ist mit einem # | ||
# zu deaktivieren! | # zu deaktivieren! | ||
Allow everything else | # Allow everything else | ||
http_access allow localnet | http_access allow localnet | ||
=== Kosmetische Erweiterung === | |||
==== Schulname ==== | |||
Sie können statt: | |||
:[[Bild: | auth_param basic realm Squid proxy-caching web server | ||
auch: | |||
auth_param basic realm Internetzugang der ...-schule | |||
also den jeweiligen Schulnamen einsetzen. | |||
:[[Bild:Ldapauth2.png|Schulname]] | |||
: | : | ||
:''Abbildung: Schulname'' | :''Abbildung: Schulname'' | ||
Auf diese Weise meldet sich dann der Internet-Explorer oder Netscape mit dem Schulnamen. | |||
:[[Bild: | |||
:[[Bild:Iemeldung.png|Passwortabfrage]] | |||
: | : | ||
:''Abbildung: Passwortabfrage'' | :''Abbildung: Passwortabfrage'' | ||
Firefox und Mozilla zeigen dies aber leider nicht an. | |||
==== Fehlermeldung ==== | |||
Sollte sich nun ein User nicht anmelden können, erhält er normalerweise diese Fehlermeldung: | Sollte sich nun ein User nicht anmelden können, erhält er normalerweise diese Fehlermeldung: | ||
:[[Bild:Cachezugriffsfehler. | :[[Bild:Cachezugriffsfehler.png|Cachezugriffsfehler]] | ||
: | : | ||
:''Abbildung: Cachezugriffsfehler'' | :''Abbildung: Cachezugriffsfehler'' | ||
| Zeile 116: | Zeile 123: | ||
:[[Bild:Cachezugriffsfehlerneu. | :[[Bild:Cachezugriffsfehlerneu.png|Cachezugriffsfehler neu]] | ||
: | : | ||
:''Abbildung: | :''Abbildung: Cachezugriffsfehler neu'' | ||
Version vom 14. Dezember 2005, 20:51 Uhr
|
Nach Meinung des Autors ist diese Seite fertig. Es wäre schön, wenn ausgiebige Tests durch viele Nutzer eventuell noch vorhandene Fehler beseitigen helfen. |
Nutzer nur nach Anmeldung im Internet surfen lassen
Anmeldezwang einschalten
Wenn Sie genau wissen wollen, wer auf welcher Seite surft, oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum.
Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit identd 1.3 (für Win9x) und turtle-identd (für W2k und XP) - da aber die genannten identd's nicht immer zuverlässig den Nutzernamen liefern, soll hier eine Lösung mit ldap_auth vorgestellt werden.
Beim Arktur-Schulserver ist diese Möglichkeit bereits vorbereitet. Sie müssen nur die Kommentarzeichen vor den entsprechenden Zeilen in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" entfernen und eines setzen.
# Wenn sich die Nutzer mit ldap-auth an Squid # anmelden sollen, dann müssen die folgenden # fünf Zeilen aktiviert werden # folgende zwei Zeilen stehen in einer einzigen! auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=test,c=de" -f "(uid=%s)" localhost:389 # also bis hierher neu eine Zeile! auth_param basic children 20 auth_param basic realm Internetzugang des Kollegs acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0 http_access allow all2 # und die folgende Zeile ist mit einem # # zu deaktivieren! # Allow everything else # http_access allow localnet
- Abbildung: Aktivieren der LDAP-Athentifikation am Proxy
ACHTUNG! Folgender Befehl gehört in eine Zeile:
auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=my-domain,c=de" -f "(uid=%s)" localhost:389
my-domain - Das ist durch Ihre Domain zu ersetzen. Sehen Sie dazu ggf. im sysadm-Menü nach. Hier in diesem Beispiel heißt sie "rg1.dd.sn.schule.de". Man benötigt nur dem ersten Eintrag rg1 als dc=rg1.
localhost:389 - Damit müssen Sie die 192.168.0.1 ersetzen.
Achtung: Beide Dateien ("squid.conf" und "squid.conf.in") müssen geändert werden.
Dann starten Sie Squid mit folgendem Befehl neu, damit er von der geänderten Konfiguration erfährt.
/etc/init.d/squid restart
Wenn alles geklappt hat, so sollte der nächste Aufruf einer Internetseite im Browser so aussehen:
- Abbildung: Test mit dem Browser
Ein Nebeneffekt dieser Aktion - im Squidgard wird ab sofort auch immer der Nutzername angezeigt!
Anmeldezwang wieder ausschalten
Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in in den Dateien "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" wieder auszukommentieren. Dafür wird dann wieder die untere Zeile aktiviert:
# Wenn sich die Nutzer mit ldap-auth an Squid # anmelden sollen, dann müssen die folgenden # fünf Zeilen aktiviert werden # auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b ... # auth_param basic children 20 # auth_param basic realm Internetzugang des Kollegs # acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0 # http_access allow all2 # und die folgende Zeile ist mit einem # # zu deaktivieren! # Allow everything else http_access allow localnet
Kosmetische Erweiterung
Schulname
Sie können statt:
auth_param basic realm Squid proxy-caching web server
auch:
auth_param basic realm Internetzugang der ...-schule
also den jeweiligen Schulnamen einsetzen.
- Abbildung: Schulname
Auf diese Weise meldet sich dann der Internet-Explorer oder Netscape mit dem Schulnamen.
- Abbildung: Passwortabfrage
Firefox und Mozilla zeigen dies aber leider nicht an.
Fehlermeldung
Sollte sich nun ein User nicht anmelden können, erhält er normalerweise diese Fehlermeldung:
- Abbildung: Cachezugriffsfehler
Sie können diese Fehlerseite in der Datei "/usr/squid/share/errors/German/ERR_CACHE_ACCESS_DENIED" nun an Ihre Bedürfnisse anpassen.
- Abbildung: Cachezugriffsfehler neu
