PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mit Linux auf Novell Proxy zugreifen



schindlang
10.03.03, 20:21
Hallo
In unserer Firma läuft dasNetzwerk unter Novell 4.?, auch der Internet Proxy. Wenn ich unter Linux diesen Proxy einstelle verweigert er mir die Verbindung weil ich nicht eingeloggt bin Ich habe bei den Proxy-Einstellungen (Suse 8.1) auch Benutzernamen und Passwort angegeben.
Wie kann ich mich richtig auf dem NovellServer anmelden?
Danke

gzuki
10.03.03, 20:36
Sersen,
es gibt einen Novell-Client für Linux schau mal bei novell vorbei.....

bom
10.03.03, 23:33
oder Du gibst den Benutzernamen "richtig" ein.

Bei der Proxy-Auth für den BorderManager musst Du Deinen Distinguished Name angen, also Username mit Kontext.

Beispiel:

benutzer.marketing.firma.land

statt nur:

benutzer

psycholars
10.04.03, 19:47
Hi,
gibt es auch die Möglichkeit mit einem Linux Server der in die Netware Umgebung kommen soll, Proxy Dienste anzubieten, wobei er die Userdaten aus dem Netware Directory holt?
Oder braucht man dann eine 3. Instanz?


lars

bom
10.04.03, 22:53
Da eDirectory VOLL LDAP v3 kompatibel ist, sollte das mal kein Problem darstellen.

Squid kann IMO mit LDAP umgehen.

psycholars
10.04.03, 23:08
super!
dann werde ich das Projekt mal angehen und genaue Versionsnummern herausfinden. Hab noch nie Mit Novell Systemen gearbeitet, aber ne LDAP Synchronisation scheint eine echt gute Lösung zu sein. Wenn jemand irgendwelche Seiten kennt, wo man sich zu dem Thema einlesen kann wäre ich sehr dankbar.

bom
11.04.03, 13:56
schick mal ne PN an "bauchi" der kann Dir sicher weiterhelfen, aber nicht böse sein wenn er nicht antwortet. Er ist momentan im Stress :D

psycholars
11.04.03, 20:41
Bin bis auch bis Montag nachmittag nciht wirklich existent :) .. Hab hier schonmal ein paar Details erhaschen können:

-Krankenhaus betreibt ein Netzwerk unter Novell Netware 5.1 (also NDS) mit ca. 100 Clients
-Die Clientrechner laufen unter
WindowsXP Pro
-Außerdem befindet sich noch ein Datenbank-Server im Netzwerk, der unter WindowsNT betrieben wird. Ob
dieser auch ein Domänencontroller ist, weiß ich im Moment gar nicht, die Benutzer im Netzwerk melden sich auf jeden Fall
per Novell-Client beim Netware Server an; d.h. die ganzen Benutzer und Rechte liegen im NDS.
-Das Kommunikationsprotokoll ist IPX/SPX. Obwohl auch TCP/IP auf den Netware-Servern läuft.
-In den nächsten Wochen wird dort ein Router installiert, der das Netzwerk per Standleitung mit dem Internet verbinden soll.
Hinter diesem Router werden wird wohl eine Cisco PIX 506e Firewall installiert werden.
-Direkt dahinter (also zwischen Firewall und Firmen-
netzwerk) soll der Proxy/Mail-Server installiert werden.
-Wünschenswert wäre ein Proxyserver, den man per User konfigurieren
(d.h. Rechtevergabe für Zugriff Internet) und auch kontrollieren (also Download-Statistik, Zeiten,...) kann
-Der Mail-Server sollte
noch einzurichtende Mail-Konten (evtl. POP3, besser allerdings MX-Eintrag auf diesen Server) verwalten, die dann von den
Clients intern abgefragt werden. Ein Mail-Client ist im Moment noch nicht im Betrieb.


/*Das intern IPX/SPX läuft, ist vielleicht auch gar nicht so schlimm, das kann der Linux-Rechner ja dann auf TCP/IP umsetzen;
das sollte die Sicherheit eigentlich noch zusätzlich erhöhen., oder?*/


ich denke mal ich werde einiges dabei lernen :)
würde mich über jegliche Hilfe und Tips freuen!

werde mich dann nächste Woche auch mal an "Bauchi" wenden und hoffen, das etwas Zeit für mich aufwenden kann!



Schönes Wochenende an alle,
Lars

Bauchi
13.04.03, 00:29
wenn du mir noch einmal so besoffen auf den anrufbeantworter lallst bom, dann setzt's was ;)


okay zum thema squid und nds ...

wir haben uns die aktuelle version von squid-cache.org genommen und beim compilen darauf geachtet das wir die external helpers und den ganzen kram einschalten:

./configure --with-openssl=../openssl-0.9.7a/ --enable-ssl \
--enable-basic-auth-helpers="LDAP" --enable-external-acl-helpers="ldap_group" \
--enable-useragent-log --enable-default-err-language=German

so sieht das dann ungefähr aus ;)

dann wurde der squid compiled und die external helpers auch ... (less README sollte dir dabei helfen ;)

in der squid conf wurde dann das hier eingefügt:

auth_param basic program /usr/local/squid/libexec/squid_ldap_auth \
-b o=sskm -f cn=%s 127.0.0.1:14000
auth_param basic children 5
auth_param basic realm Stadtsparkasse Muenchen - Usercheck
auth_param basic credentialsttl 2 hours
external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "ou=AMainGroupsZEN,o=sskm" \
-f "(&(cn=%g)(member=%u)(objectClass=groupOfNames))" \
-B "o=sskm" -F "(cn=%s)" -h 127.0.0.1:14000


du siehst einmal nach dem -b ein o=sskm .. das ist der start vom ldap tree ... und 127.0.0.1:14000 ist im endeffekt der server den du queriest .. bei uns ist das ein stunnel der per ssl auf eine novell box geht ;)
der external_acl kram ist im endeffekt ein filter darauf, ob der user in einer gewissen gruppe ist .. nur wenn er da drin ist, darf er auch surfen ;) ist im endeffekt ja ein suchfilter ;)

weiter unten bei den acl's fragen wir dann höflich nach den daten:

acl internetsurfer external ldapou EveryoneZEN
mit dem EveryoneZEN übergeben wir die gruppe in der wir suchen ;)

und noch weiter unten bei den http access acl's sagen wir

http_access allow internetsurfer

alles klar ??? ;)

wenn nicht, einfach noch mal melden :-D

Bauchi
13.04.03, 00:42
kleiner nachtrag.. ich hab grad dein ganzes posting gelesen:

cisco pix *würg*
ansonsten ist alles was du schreibst mit linux machbar
mailserver, pop3/imap server, proxy etc...

wenn du dir die mühe machst und zum beispiel noch squid-guard configurierst, dann kannst du auch solche sachen machen wie vom user abhängige config zum surfen *achtung .. ziemliche fummelei*

und so weiter und so fort ;)

psycholars
13.04.03, 08:23
Schomal vielen Dank für Deinen Beitrag,
hört sich ziemlich nach ner Frickelei an, die ich in der Testumgebung erstmal nciht wirklich ausprobieren kann. Aber wenn das eine funktionierende Konfiguration ist, weiss ich ja, wo ich dran bin und das es funzt.
Ich werde da erstmal drüber schlafen und wenn Fragen und Probleme auftauchen, die ich nicht selber lösen kann melde ich micht nochmal.
Schönen Sonntag!

lars

psycholars
14.04.03, 23:54
ok, heute den letzten schein in der uni gemacht!
ich muss mich jetzt an deinem strohhalm klammern und das ganze so umsetzen wie du es gepostet hast. wie gross war denn ungefähr der installationsaufwand in mann/fraustunden?
und sowas kann doch nicht alles sein oder? :
http://novell.curtin.edu.au/faq/ldap4lnx.html
oder das:
http://www.c-note.dk/software/squid_auth_ldap/

Bauchi
15.04.03, 10:51
also .. in mann/frau stunden ist der reine install auf wand auf 3 stunden zu schätzen ... je nachdem wie schnell die maschine ist auf der du squid compilest..

zu beachten ist das du UNBEDINGT nen 2.5er squid brauchst, da ist nämlich der ganze ldap kram dabei ;)

die 2 links sind nett und schön, aber bringen dir nich viel :-/

bye

psycholars
14.05.03, 19:28
Hi,
da ich durch mein doch recht zeitintensives Studium erst jetzt mit dem Server angefangen habe, melde ich mich jetzt. ich habe mir jetzt hier einen alten p-II mit netware 5.1 in die wohnung gestellt zum testen.


Das Problem ist nur, ich wollte mich eigentlich erst bei schwierigen Probs melden, aber es geht schon direkt am Anfang los... SChon beim kompilieren von squid gibt es beim "make" fehler....

link (http://www.linuxforen.de/forums/showthread.php?s=&threadid=80056)

sorry, dass ich direkt mit banalitäten belästige, aber ich sehe nur, dass er beim ssl support den ersten parse error bekommt, nur ka warum


lars

UPDATE: FIXED!!!!

psycholars
17.05.03, 10:44
So, squid läuft zwar, aber ich habe mit allen möglichen Kombinationen versucht mit mit der NDS zu connecten, aber FEhlanzeige...

Kannst Du bitte nochmal kurz sagen, was Du hiermit immer gemeint hast:

%LOGIN (steht ja in der squid.conf)
cn=%g
member=%u

sind das jetzt ALLE wie bei Samba Werte, die automatisch übergeben werden oder die User und Gruppen in der NDS? (Ich hab beides irgendwie versucht und finde %g ,%u,%s nicht...

Da ich mit Novell Netware nichts am Hut hab noch eine kurze Frage:


ich habe es zur zeit so:
LDAP Guppe angelegt: ou=proxymail,o=lh
Dann ne Gruppe in der Userverwaltung mit dem Netware Admin gemacht (kann die User irgendwie nicht über LDAP direkt verwalten) cn=users,ou=proxymail,o=lh
dann einen user angelegt, der mitglied der gruppe users ist, cn=squid,ou=proxymail,o=lh


so klang es für mich logisch. bitte sag mir, wenn ich in die völlig falsche richtung laufe



lars

bla!zilla
17.05.03, 18:46
Original geschrieben von psycholars
-Krankenhaus betreibt ein Netzwerk unter Novell Netware 5.1 (also NDS) mit ca. 100 Clients


Das ist okay.



-Die Clientrechner laufen unter
WindowsXP Pro


Gut, jeder macht mal einen Fehler.... Sorry, konnte ich mir nit verkneifen.



-Außerdem befindet sich noch ein Datenbank-Server im Netzwerk, der unter WindowsNT betrieben wird. Ob dieser auch ein Domänencontroller ist, weiß ich im Moment gar nicht, die Benutzer im Netzwerk melden sich auf jeden Fallper Novell-Client beim Netware Server an; d.h. die ganzen Benutzer und Rechte liegen im NDS.


Das hängt von der Anwendung ab. Im Prinzip ist es aber egal ob die lokale SAM benutzt wird, oder ob es sich um Domänenaccounts handelt (dann werden die Benutzer und Rechte halt in der Domänendatenbank und nicht in der lokalen SAM angelegt und verwaltet).



-Das Kommunikationsprotokoll ist IPX/SPX. Obwohl auch TCP/IP auf den Netware-Servern läuft.


Eigentlich egal, obwohl ab Netware 5 war TCP/IP das Standardprotokoll bei Novell. Kann aber noch eine Altlast sein (ist da vielleicht mal eine Migration von Netware 4.x auf 5 gelaufen?).



-In den nächsten Wochen wird dort ein Router installiert, der das Netzwerk per Standleitung mit dem Internet verbinden soll. Hinter diesem Router werden wird wohl eine Cisco PIX 506e Firewall installiert werden.


Moment...

Standleitung -> Firewall -> Router ?? Eher
Standleitung -> Router -> Firewall, oder? ;)



-Direkt dahinter (also zwischen Firewall und Firmennetzwerk) soll der Proxy/Mail-Server installiert werden.


Proxy- und Mailserver auf eine Maschine? Muß das sein? Normalerweise hat eine Firewall ein interes Interface, ein externes Interface und ein DMZ-Interface. Wenn der Mailserver als Relay dienen soll dann wird der wohl in die DMZ müssen, sofern die MX Records auf diesen Server verweisen. Proxy würde ich nicht unbedingt in die DMZ stellen.



-Wünschenswert wäre ein Proxyserver, den man per User konfigurieren
(d.h. Rechtevergabe für Zugriff Internet) und auch kontrollieren (also Download-Statistik, Zeiten,...) kann


Kein Thema. Kann Squid. :)



-Der Mail-Server solltenoch einzurichtende Mail-Konten (evtl. POP3, besser allerdings MX-Eintrag auf diesen Server) verwalten, die dann von den
Clients intern abgefragt werden. Ein Mail-Client ist im Moment noch nicht im Betrieb.


Wenn MX Records auf den verweisen, der MTA die Post also direkt entgegennehmen soll, muß der von außen erreichbar sein. Also in die DMZ damit.



/*Das intern IPX/SPX läuft, ist vielleicht auch gar nicht so schlimm, das kann der Linux-Rechner ja dann auf TCP/IP umsetzen;
das sollte die Sicherheit eigentlich noch zusätzlich erhöhen., oder?*/


Das verstehe ich nicht ganz? Für die Verbindung zum Netwareserver verwendet ihr IPX/SPX. Zum NT-Server auch? XP hat TCP/IP eh standardmäßig installiert. Einfach ganz normal TCP/IP auf der Linuxmaschine einrichten. Für den Connect zum Novellserver kann man ja auch TCP/IP nutzen (läuft ja schon auf der Maschine). DHCP könnte man für die XP-Clients auf der Linuxmaschine einrichten, oder aber vom Netwareserver machen lassen. Aber jetzt die Linuxkiste per IPX/SPX zu befeuern bzw. den als Multiprotokollrouter zu verwenden halte ich nicht für sinnvoll.



ich denke mal ich werde einiges dabei lernen :)
würde mich über jegliche Hilfe und Tips freuen!


Davon geh mal aus. :D

psycholars
17.05.03, 21:39
Bin schon etwas weiter ;)
----------


Das ist okay.


Puuh ..... ;)


Das hängt von der Anwendung ab. Im Prinzip ist es aber egal ob die lokale SAM benutzt wird, oder ob es sich um Domänenaccounts handelt (dann werden die Benutzer und Rechte halt in der Domänendatenbank und nicht in der lokalen SAM angelegt und verwaltet).

wie gesagt, ist auch egal... die user (oder eher proxy und mail server) sollen sich ja an der NDS anmelden (LDAP)





Eigentlich egal, obwohl ab Netware 5 war TCP/IP das Standardprotokoll bei Novell. Kann aber noch eine Altlast sein (ist da vielleicht mal eine Migration von Netware 4.x auf 5 gelaufen?).


es ist netware 5.1 und TCP/IP UND IPX/SPX läuft, das ist aber nicht wirklich das problem ;)



Standleitung -> Firewall -> Router ?? Eher
Standleitung -> Router -> Firewall, oder?

hehe, klar :)




Proxy- und Mailserver auf eine Maschine? Muß das sein? Normalerweise hat eine Firewall ein interes Interface, ein externes Interface und ein DMZ-Interface. Wenn der Mailserver als Relay dienen soll dann wird der wohl in die DMZ müssen, sofern die MX Records auf diesen Server verweisen. Proxy würde ich nicht unbedingt in die DMZ stellen.


jo, kommt beides in die DMZ... aus Kostengründen wird ein Server eingesetzt, der Proxy und Mailuser verarbeitet und die MX Einträge zeigen natürlich auf den Mailserver.




Wenn MX Records auf den verweisen, der MTA die Post also direkt entgegennehmen soll, muß der von außen erreichbar sein. Also in die DMZ damit.

sehe ich genauso ( manche Vorlesungen bringen doch was :) ...)



Das verstehe ich nicht ganz? Für die Verbindung zum Netwareserver verwendet ihr IPX/SPX. Zum NT-Server auch? XP hat TCP/IP eh standardmäßig installiert. Einfach ganz normal TCP/IP auf der Linuxmaschine einrichten. Für den Connect zum Novellserver kann man ja auch TCP/IP nutzen (läuft ja schon auf der Maschine). DHCP könnte man für die XP-Clients auf der Linuxmaschine einrichten, oder aber vom Netwareserver machen lassen. Aber jetzt die Linuxkiste per IPX/SPX zu befeuern bzw. den als Multiprotokollrouter zu verwenden halte ich nicht für sinnvoll.


ich war selber noch nicht vor ort. habe mir hier zuhause nur eine kleine testumgebung gebaut. alles was zum proxy geht, soll TCP/IP sein.. da will ich nciht mit IPX/SPX rumbasteln.



Anm: Es geht hier darum ob ich meinen Master in Australien machen kann, da die Studiengebühren dort recht hoch sind, also helft mir biddä :)


greetz
lars

psycholars
18.05.03, 13:29
So, ich habe es hinbekommen....

1. Auf der NDS einen LDAP Server unter ConsoleOne installieren
2. Eine LDAP Group hinzufügen
3. Eine NDS Group hinzufügen
4. Die User müssen Trustees von LDAP und NDS Gruppe haben
5. Unter Squid: /usr/lib/squid/squid_ldap_auth -u cn -b ou=proxymailUsers,o=lh -h 192.168.100.1 -p 389

bei der Externen Authentifizierung eintragen, wobei proxymailUsers die NDS Gruppe ist ...



feddich

bla!zilla
18.05.03, 20:02
Schön, schön, schön. Glückwunsch. :)

psycholars
18.05.03, 22:10
hehe, sind noch ein paar mehr kleinigkeiten,
wenn es einen interessiert einfach melden


lars