Pro-Linux.de

Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 14. Dez 2018 10:46

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 21. Feb 2008 0:53 
Hi,
ich habe folgendes Problem:

In einer Windows-Dom. sollen bestimmte Gruppen Zugang zum Internet erhalten. Hierzu ist im AD die Gruppe www eingerichtet.

Nun folgende Aufgabenstellung:
Ein Squid soll nun alle Benutzer die der Gruppe www zugeordnet in Internet zulassen.

Squid soll auf Basis von Suse-Linux entstehen.

Wie bekomme ich nun die Gruppe des AD am Squid berechtigt?

Bin für jede Info dankbar.

Gruß
TT


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 21. Feb 2008 2:46 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Der Proxy muss rausfinden können, wem welche Verbindungen gehören. Dafür gibt es Identd, dieser muss jeweils auf dem Windows-Client installiert werden.

Aber:
1. Transparentes Proxiing geht damit nicht.
2. Läuft kein Identd auf dem Rechner, kann der Benutzer selbst einen starten und sich als jemand anders ausgeben. Das ganze Konzept funktioniert also nur, wenn die Windowsrechner entsprechend gesichert werden. Insbesondere darf keiner der Anwender, die beschränkt werden sollen, Hauptbenutzer-Rechte haben.

Alternativ muss der Benutzer sich zuerst auf einer Proxy-Startseite einbuchen und dort die Verbindung für seine aktuelle IP freischalten. Das funktioniert aber natürlich nicht, wenn mehrere Benutzer sich einen Rechner teilen, also z.B. bei einem Terminalserver. Außerdem widerspricht es der Idee des Single-Sign-On.

Wenn die Anwender immer am selben Rechner sitzen, kann es einfacher sein, nur bestimmten Rechnern einen Zugang zu erlauben. Dafür kann man Squid verwenden, aber auch einfach iptables.

Wirklich "dicht" sind aber alle diese Lösungen nicht.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 25. Feb 2008 6:48 
Habe die Lösung nun nicht mehr im Kopf, aber grundsätzlich geht es auch ohne identd und nur mit LDAP.

Bin mir aber nicht mehr sicher, ob der Squid gepatched werden mußte, ist schon ein paar Jahre her, daß ich das aufgebaut habe. Aber in die Richtung würde ich mal suchen.

War allerdings kein transparentes proxying. Es hat aber gelangt, die die Proxyeinstellungen in dem Browser einzutragen (good ole proxy.pac)


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 3 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de