PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : squid & parent & webserver & ....



dbo
24.07.02, 15:51
Ein Hallo erst einmal,

ich würd gern ein Problem schildern, in der Hoffnung, daß dies schon mal jemand gemacht hat, oder auch eine Idee hat, wie man es machen kann.

Konstellation:

Ich habe einen Rechner, auf dem läuft ein Squid-Proxy mit SquidGuard und ein Webserver Apache. Über dem Proxy steht ein Parentproxy, der sich nicht um das interne Netz kümmert, auch die dortigen Rechner nicht kennt, schon gar nicht Anfragen dahinein macht.

Auf dem Squid gibt es die Regel, daß alle Anfragen an den Parent weitergeleitet werden, mit der Regel "never_direct allow all". Das verhindert allerdings, daß der Proxy interne Server, wie zum Beispiel den lokalen Webserver abfragen kann, denn er sendet auch die Anfragen an den internen Webserver nach außen und bekommt logischer weise von dort keine Antwort. Die Regeln "acl local-servers dstdomain intern.de" und "always_direct allow local-servers" erlauben ja nur die directen Zugriffe von Rechner der Domaine intern.de, dann müßte ich aber in einem DNS-freien Netzwerk alle Clients im DNS bekannt machen.
Tag "acl local-host src 192.168.0.0" und "always_direct allow local-host" würden aber die "never_direct allow all" aufheben. Ein dilemma. Schlimmer noch, es ist nicht möglich, dem Parent die internen Server bekannt zu machen.
Soweit so gut ...
Erschwerend kommt hinzu, daß dieser Webserver seine User authentifizieren soll und dementsprechende index-Seiten laden soll. Also wenn ein dem Webserver als Admin bekannter User die index.html aufruft, soll er eine ganz andere Webseite bekommen, als wenn ein als low-limit-User die index.html aufruft. Noch weiter: er soll zum einen die Userauthentifizierung am PDC machen und wenn möglich diese Userauthentifizierung an den Proxy übergeben, damit da nicht noch eine Abfrage stattfinden muß. Idealer weise würde der user eh über den Proxy gehen und sich dort identifizieren und dann beim ansprechen des intern Webservers dementsprechend die Webseite erhalten ... das scheitert leider nur an den oben genannten Regeln.

Ich hoffe, ihr versteht zumindest mein Dilemma. Noch schöner wäre, wenn jemand mir auch noch sagen könnt, wie ich dies realisieren soll :(

bis dann