james99
13.08.08, 09:34
Hallo zusammen,
dies ist mein erster Post aber ich hab diese tolle Seite entdeckt und hoffe, dass ich hier vielleicht einen Tipp bekomme wegen folgenden Problems:
Ich habe mit in den letzten Wochen einen Squid zusammengebastelt, der via ntlm_auth Anfragen an eine Windows 2003 Domäne senden kann um Gruppenzugehörigkeiten abzufragen. Das funktioniert auch soweit. Der Ggrundgedanke ist nun folgender:
a) Es gibt eine Whitelist in der Seiten stehen, die jeder im Haus besuchen können soll. Sowas wie telefonbuch.de und andere Pages.
b) Für Seiten, die NICHT in der Whitelist stehen gibt es eine Benutzergruppe XY. Wenn der User da drin steht darf er die Seiten besuchen. Ruft nun ein User beispielsweise Google auf bekommt er eine Passwortanfrage angezeigt und wenn er alles richtig eingibt kommt er drauf. Sonst eben nicht.
Soweit so gut, jetzt gibts nur einen ganz unschönen Seiteneffekt. Und hier beginnt mein Problem:
Besucht ein User die Seite telefonbuch.de dann müsste er ja eigentlich kein Passwort eingeben, schließlich ist die Page in der Whitelist. Da auf der Seite aber Werbebanner oder Content von anderen Domains verwendet werden kommt die Passwortabfrage doch!! Das ist ziemlich unschön, denn schließlich betrifft das damit alle User, auch diejenigen, die keinen uneingeschränkten Zugang haben. Und die werden schon etwas überfordert sein wenn ihnen das Popup mit der Passwortabfrage mehrmals unterkommt.
Hat jemand hierzu eine Idee? Vielleicht so: Wie kann ich dem Squid sagen, dass wenn eine Seite aus der Whitelist abgerufen wird, keine weiteren Abfragen gegen das AD erfolgen
sollen?
Zusatzinfos:
squid -v
Squid Cache: Version 2.5.STABLE12
configure options: '--prefix=/usr' '--sysconfdir=/etc/squid' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--localstatedir=/var' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--with-dl' '--enable-snmp' '--enable-carp' '--enable-useragent-log' '--enable-auth=basic digest ntlm' '--enable-basic-auth-helpers=LDAP MSNT NCSA PAM SMB YP getpwnam multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB no_check' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user ldap_group unix_group wbinfo_group' '--enable-ntlm-fail-open' '--enable-referer-log' '--enable-arp-acl' '--enable-htcp' '--enable-underscores' '--enable-stacktraces' '--enable-delay-pools' '--enable-ssl' '--enable-cache-digests' '--enable-storeio=aufs,ufs,diskd,null' '--enable-linux-netfilter' '--enable-removal-policies=heap,lru' '--with-samba-sources=/usr/include/samba' '--enable-x-accelerator-vary' 'CFLAGS=-O2 -march=i586 -mtune=i686 -fmessage-length=0 -Wall -D_FORTIFY_SOURCE=2 -g -fPIE -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-pie'
cat /proc/version
Linux version 2.6.16.46-0.12-smp (geeko@buildhost) (gcc version 4.1.2 20070115 (prerelease) (SUSE Linux)) #1 SMP Thu May 17 14:00:09 UTC 2007
acl all src 10.0.0.0/255.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl InetAccess external ntgroup InternetAccessGroup
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl LIMITED url_regex -i "/squidcache/regex_limited.txt"
acl REJECT url_regex -i "/squidcache/regex_reject.txt"
http_access allow localhost
http_access allow REJECT
http_access allow LIMITED
http_access allow InetAccess
dies ist mein erster Post aber ich hab diese tolle Seite entdeckt und hoffe, dass ich hier vielleicht einen Tipp bekomme wegen folgenden Problems:
Ich habe mit in den letzten Wochen einen Squid zusammengebastelt, der via ntlm_auth Anfragen an eine Windows 2003 Domäne senden kann um Gruppenzugehörigkeiten abzufragen. Das funktioniert auch soweit. Der Ggrundgedanke ist nun folgender:
a) Es gibt eine Whitelist in der Seiten stehen, die jeder im Haus besuchen können soll. Sowas wie telefonbuch.de und andere Pages.
b) Für Seiten, die NICHT in der Whitelist stehen gibt es eine Benutzergruppe XY. Wenn der User da drin steht darf er die Seiten besuchen. Ruft nun ein User beispielsweise Google auf bekommt er eine Passwortanfrage angezeigt und wenn er alles richtig eingibt kommt er drauf. Sonst eben nicht.
Soweit so gut, jetzt gibts nur einen ganz unschönen Seiteneffekt. Und hier beginnt mein Problem:
Besucht ein User die Seite telefonbuch.de dann müsste er ja eigentlich kein Passwort eingeben, schließlich ist die Page in der Whitelist. Da auf der Seite aber Werbebanner oder Content von anderen Domains verwendet werden kommt die Passwortabfrage doch!! Das ist ziemlich unschön, denn schließlich betrifft das damit alle User, auch diejenigen, die keinen uneingeschränkten Zugang haben. Und die werden schon etwas überfordert sein wenn ihnen das Popup mit der Passwortabfrage mehrmals unterkommt.
Hat jemand hierzu eine Idee? Vielleicht so: Wie kann ich dem Squid sagen, dass wenn eine Seite aus der Whitelist abgerufen wird, keine weiteren Abfragen gegen das AD erfolgen
sollen?
Zusatzinfos:
squid -v
Squid Cache: Version 2.5.STABLE12
configure options: '--prefix=/usr' '--sysconfdir=/etc/squid' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--localstatedir=/var' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--with-dl' '--enable-snmp' '--enable-carp' '--enable-useragent-log' '--enable-auth=basic digest ntlm' '--enable-basic-auth-helpers=LDAP MSNT NCSA PAM SMB YP getpwnam multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB no_check' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user ldap_group unix_group wbinfo_group' '--enable-ntlm-fail-open' '--enable-referer-log' '--enable-arp-acl' '--enable-htcp' '--enable-underscores' '--enable-stacktraces' '--enable-delay-pools' '--enable-ssl' '--enable-cache-digests' '--enable-storeio=aufs,ufs,diskd,null' '--enable-linux-netfilter' '--enable-removal-policies=heap,lru' '--with-samba-sources=/usr/include/samba' '--enable-x-accelerator-vary' 'CFLAGS=-O2 -march=i586 -mtune=i686 -fmessage-length=0 -Wall -D_FORTIFY_SOURCE=2 -g -fPIE -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-pie'
cat /proc/version
Linux version 2.6.16.46-0.12-smp (geeko@buildhost) (gcc version 4.1.2 20070115 (prerelease) (SUSE Linux)) #1 SMP Thu May 17 14:00:09 UTC 2007
acl all src 10.0.0.0/255.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl InetAccess external ntgroup InternetAccessGroup
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl LIMITED url_regex -i "/squidcache/regex_limited.txt"
acl REJECT url_regex -i "/squidcache/regex_reject.txt"
http_access allow localhost
http_access allow REJECT
http_access allow LIMITED
http_access allow InetAccess