Administratorhandbuch:Squid-Anmeldung
|
Nach Meinung des Autors ist diese Seite fertig. Es wäre schön, wenn ausgiebige Tests durch viele Nutzer eventuell noch vorhandene Fehler beseitigen helfen. |
Nutzer nur nach Anmeldung an SQUID auf Arktur 4 surfen lassen
Wenn Sie genau wissen wollen, wer auf welcher Seite surft, oder wenn Sie nicht jeden über Ihren Arktur surfen lassen wollen, dann kommen Sie um eine Nutzeranmeldung am Proxyserver nicht herum.
Es gibt zwar auch die Möglichkeit der Nutzung einer Identifikation per identd.exe, z.B. mit identd 1.3 (für Win9x) und turtle-identd (für W2k und XP) - da aber die genannten identd's nicht immer den Nutzernamen liefern soll hier eine Lösung mit ldap_auth vorgestellt werden.
Bei Arktur ist diese Möglichkeit eingearbeitet. Sie müssen nur die Kommentarzeichen vor den entsprechenden Zeilen in der Datei "/etc/squid/squid.conf" und "/etc/squid/squid.conf.in" entfernen und eines setzen.
# Wenn sich die Nutzer mit ldap-auth an Squid # anmelden sollen, dann müssen die folgenden # fünf Zeilen aktiviert werden # folgende zwei Zeilen stehen in einer einzigen! auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=test,c=de" -f "(uid=%s)" localhost:389 # also bis hierher neu eine Zeile! auth_param basic children 20 auth_param basic realm Internetzugang des Kollegs acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0 http_access allow all2 # und die folgende Zeile ist mit einem # # zu deaktivieren! # Allow everything else # http_access allow localnet
- Aktivieren der LDAP-Athentifikation am Proxy
- Abbildung: Aktivieren der LDAP-Athentifikation am Proxy
ACHTUNG! Folgende Zeile gehört in eine Zeile:
auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b "o=SCHULE,dc=my-domain,c=de" -f "(uid=%s)" localhost:389
also ohne Zeilenumbruch in exakt eine einzige Zeile, mit einem Leerzeichen zwischen -b und "o=SCHULE... !
my-domain - Das was Sie als Ihre Domain eingetragen haben. Sehen Sie dazu ggf. im sysadm-Menü nach. Bei mir heißt sie "test.fib". Man benötigt nur das test. Oder sollten Sie "jakobus.ms" genommen haben, dann nur das jakobus.
localhost:389 - Damit müssen Sie die 192.168.0.1 ersetzen. (in der squid.conf.in der Beta 42)
Dann starten Sie Squid mit folgendem Befehl neu, damit er von der geänderten Konfiguration erfährt.
/etc/init.d/squid restart
Wenn alles geklappt hat, so sollte der nächste Aufruf einer Internetseite im Browser so aussehen:
- Test mit dem Browser
- Abbildung: Test mit dem Browser
Ein Nebeneffekt dieser Aktion - im Squidgard wird ab sofort auch immer der Nutzername angezeigt!
Wollen Sie die Aktion rückgängig machen, so brauchen Sie nur die entsprechenden Zeilen in der Datei "etc/squid/squid.conf.in" auszukommentieren, so wie in der squid.conf.in angegeben.
# Wenn sich die Nutzer mit ldap-auth an Squid # anmelden sollen, dann müssen die folgenden # fünf Zeilen aktiviert werden # auth_param basic program /usr/squid/bin/squid_ldap_auth -v 3 -b ... # auth_param basic children 20 # auth_param basic realm Internetzugang des Kollegs # acl all2 proxy_auth REQUIRED src 0.0.0.0/0.0.0.0 # http_access allow all2 # und die folgende Zeile ist mit einem # # zu deaktivieren! Allow everything else http_access allow localnet
Nun können Sie noch angeben, woran sich der Nutzer gerade anmelden soll:
- Schulname
- Abbildung: Schulname
Nach einem Neustart meldet dann der IE,
- Passwortabfrage
- Abbildung: Passwortabfrage
falls Sie in der 3. Zeile den Schulnamen eingetragen haben.
Sie können also statt:
auth_param basic realm Squid proxy-caching web server
auch:
auth_param basic realm Internetzugang des Kollegs
also den jeweiligen Schulnamen einsetzen.
Firefox und Mozilla zeigen dies aber nicht an - der IE oder Netscape 4.x schon.
Sollte sich nun ein User nicht anmelden können, erhält er normalerweise diese Fehlermeldung:
- Cachezugriffsfehler
- Abbildung: Cachezugriffsfehler
Sie können diese Fehlerseite in der Datei "/usr/squid/share/errors/German/ERR_CACHE_ACCESS_DENIED" nun an Ihre Bedürfnisse anpassen.
- Cachezugriffsfehlerneu
- Abbildung: Cachezugriffsfehlerneu
