Forum

Squid - Dansguardia...
 
Bildirimler
Hepsini Temizle

Squid - Dansguardian Kullanıcı Adı , Şifre

15 Yazılar
4 Üyeler
0 Reactions
524 Görüntüleme
(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

Merhaba ,

AD olan sisteminde proxy olarak kullandığım Squid , Dansguardian var. Kullanıcılar dansguardian üzerinden (proxy) nete çıkıyor. Ben kullanıcılar explorer açtığında dansguardian üzerinden kullanıcı adı ve şifre sorsun istiyorum. Kullanıcının logon kalma süresi vs. belirlemek istiyorum. Bu işlemi nasıl yapabilirim? Yardımlarınızı rica ederim.

 

Tşk.

 
Gönderildi : 17/08/2009 13:50

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Eğer ortamda AD vasar Squid kullanıcılarını LDAp den authenticate edebilirsin..  http://group-ldap-auth.sourceforge.net/

 

ldap_auth_program /usr/lib/squid/group_ldap_auth -b dc=my-domain,dc=de -h \server.my-domain.de -p 636 -g distinguishedName -d CN=lookup,OU=Services,\OU=Users,DC=my-domain,DC=de -w lookup -u cn -m member -o group -S -l \/var/log/squid/ldaplogacl ldap_backoffice ldap_auth static 'CN=BackOffice,OU=Groups,dc=my-domain,dc=de'acl ldap_management ldap_auth static 'CN=Management,OU=Groups,dc=my-domain,dc=de'acl ldap_it-service ldap_auth static 'CN=IT-Service,OU=Groups,dc=my-domain,dc=de'acl ldap_development ldap_auth static 'CN=DEVELOPMENT,OU=Groups,dc=my-domain,dc=de'http_access allow ldap_developmenthttp_access allow ldap_backofficehttp_access allow ldap_managementhttp_access allow ldap_it-service 

http_access deny all 

 
Gönderildi : 17/08/2009 16:27

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

Hocam şöyle yapamaz mıyımz?

Squid üzerine kullanıcı ve şifre belirlesem , dans ile koordineli çalışıp dans üzerinden username password sorsa?

ldap olayını çözemedim.

Yardımlarınızı rica ederim.

 

Tşk.

 
Gönderildi : 17/08/2009 17:23

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

 

Tekrar Merahaba ,

Aşağıda ki kuralları ekleyerek squid üzerinden username ve pass. işlemlerini yaptım. Ancak benim sistemimde userlar squid-dansguardian proxy 8080 portundan çıkıyor. Bu durumu dansguardiana nasıl aktarabilirim? Ayrıca ben ortalama 30-40 kullanıcıya atıycam bu görevi , limit sorunu yaşarmıyım?

 

Kurallar ;

Normal
0

21

false
false
false

TR
X-NONE
X-NONE


/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}

auth_param
basic program /usr/lib6
4/squid/ncsa_auth /etc/squid/squid_passwd 

auth_param
basic children 50

auth_param
basic realm Squid proxy-caching web server

auth_param
basic credentialsttl 2 hours

auth_param
basic casesensitive off

 

Normal
0

21

false
false
false

TR
X-NONE
X-NONE


/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}

acl
localnet src 10.1.0.0/24

http_access  allow localnet password      

 

acl
baglanti_sayisi maxconn 50

http_access deny
baglanti_sayisi

____________________________________

acl password proxy_auth REQUIRED
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

__________________________________

Normal
0

21

false
false
false

TR
X-NONE
X-NONE


/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}

[root@ ]# touch /etc/squid/squid_passwd

[root@ ]# chmod o+r /etc/squid/squid_passwd

 

Kullanıcı Ekleme ;

 

[root@ ]# htpasswd /etc/squid/squid_passwd ufuk       ---- kullanıcı ismi ufuk ---
New password:
Re-type new password:
Adding password for user ufuk
 
 
 
Yardımlarınızı rica ederim. 

 

 

 
Gönderildi : 18/08/2009 18:56

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Ufuk selam

 Bu işlemi neden Dansguardian üzerinden yapmak istediğini anlamadım. Çünkü Dansguardian senin de bildiğin gibi sadece içerik filtreleme. User authentication yapamazsın. Zaten net üzerinde yaptığım araştırmalar da bu bölümün henüz yazılmadığından bahsediyorlar. Yani gelecek te belki.

 

Squid üzerinden bu işlemi yaptıysan bence bu şekilde kalsın. Anladığım kadarı ile proxy, transparent olarak da ayarlamamışsın..

Yapman gereken Proxy i 3128 e transparent olarak ayarla ve kullanıcılara proxy üzerinden authenticate et. Proxy veritabanında olmayan kullancı zaten internete çıkamayacaktır.

Kolay gelsin 

 
Gönderildi : 19/08/2009 18:06

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

Hocam IPTABLES üzerinde nat oluşturmuştum. Onu kaldırdım çalıştı. IP 3128 ve IP 8080 2sinde 'de şifre soruyor artık.

 

Teşekkürler.

 
Gönderildi : 19/08/2009 20:53

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Bununla ilgili bir döküman hazırlayıp gönderebilirmisin.. Anlamadım ben.. proxy zaten normalde 8080 den çıkar. Transparent değilse 3128 i kullanmaz. Sen bunun ikisini nasıl kullanırıyorsun?

 
Gönderildi : 19/08/2009 21:14

(@fatihakkus)
Gönderiler: 372
Honorable Member
 

Selam Erdal Hocam;


Squid 2.6 stable ile beraber 3128 veya 8080 diye ayırt etmiyyor.


sen http_port 3128 transparent yazıp firewallda 80. porta gelen istekleri 3128 e yönlendirirsen transparen olur. Ayrıca tarnsparent olunca zaten şifre sorma gibi bi durum olmuyor.İkisi birbiri ile çalışmıyor.Active directory ile squidi replike çalıştırabilirsiniz.Böylece domaindeki kullancıı internete girerken şifre sormaz ama kullanıcı bazlı log tutar fakat domain ortamının dışında internete girmek istediğinde kullanıcıya şifre sorar. kullancıı domainde kayıtlı ise kullanıcı adı ve şifresi ile girebilir.böylece yine isim bazlı kayıt tutabilirsiniz

 
Gönderildi : 19/08/2009 22:02

(@alibirinci)
Gönderiler: 278
Reputable Member
 

Bu sorunu ufukla beraber aşmıştık.. Sorunun çözümü şöyle oldu.. iptables da  8080 portunu 3128 yonlendiren nat rule vardır.  bildiğimiz gibi dansguardian.conf donsyasında proxy serverle ilgili ip vede port ayarı var..

 

Enbaşta:

 dansguardian: 8080 portunu dinliyor.

dansguardian squid port :3128

dansguardian squid ip : 127.0.0.1

iptables: 8080 portu 3128 yönlendirilmişdurunda..

 

Gerçekleşen olay: kullanıcılarda proxy port olarak 3128verildiğinde user ve pass soruyor. ama 8080 yazdığımızda birşey sormuyordu.. Sorunun iptables de olduğunu düşündüm. çünkü portu nat'ladığımızdan dolay geldiği yer belli olmuyordu. 

 

Yapılan değişiklik : iptablesden nat rule iptal edildi.

 

Son durum

 dansguardian: 8080 portunu dinliyor.

dansguardian squid port :3128

dansguardian squid ip : 127.0.0.1

 Sonuc: Kullanıcı artık proxy ayarlarında 8080 portu yazdığımızda kullanıcı adı ve şifre soruyor.. 

 

Not: sunucu sadede proxy server olarak kullanılıyor. Gateway değildir..

 

 
Gönderildi : 20/08/2009 12:47

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

Alicim açıklaman için teşekkür ederim 🙂 Bu arada halen düşünüyor musun ? 🙂

 
Gönderildi : 20/08/2009 12:52

(@alikemalturker)
Gönderiler: 1016
Noble Member
 

Selam Erdal Hocam;

Squid 2.6 stable ile beraber 3128 veya 8080 diye ayırt etmiyyor.

sen http_port 3128 transparent yazıp firewallda 80. porta gelen istekleri 3128 e yönlendirirsen transparen olur. Ayrıca tarnsparent olunca zaten şifre sorma gibi bi durum olmuyor.İkisi birbiri ile çalışmıyor.Active directory ile squidi replike çalıştırabilirsiniz.Böylece domaindeki kullancıı internete girerken şifre sormaz ama kullanıcı bazlı log tutar fakat domain ortamının dışında internete girmek istediğinde kullanıcıya şifre sorar. kullancıı domainde kayıtlı ise kullanıcı adı ve şifresi ile girebilir.böylece yine isim bazlı kayıt tutabilirsiniz

Cinlop,

Açıklaman için çok teşekkür ederim. Şimdi oldu. Arkadaşlar dans üzerinde kullanıcı adı şifre soruluyopr diyince kafam karıştı. Çünkü bu fonksiyon henüğz yazılmadı diye biliyorum. Squid üzerinden bu işlemi senin de dediğin gibi daha önce benim de yazdığım gibi AD üzerinden çözebiliriz.

 

Ama arkadaşlar zaten sorunu  çözmüş.. Bu arada Ufuk'a bu konuyu açtığı için çok teşekküler..

Ufuk bence bunu bir döküman haline getir.. Yoksa unutursun.. 🙂

Herkese kolay gele 

 
Gönderildi : 20/08/2009 13:52

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

Getirdim bile Erdal 🙂 Hatta siteme yazıcam birazdan 😉

 

Tşk.

 
Gönderildi : 20/08/2009 14:04

(@alibirinci)
Gönderiler: 278
Reputable Member
 

Alicim açıklaman için teşekkür ederim 🙂 Bu arada halen düşünüyor musun ? 🙂

Ufuk inan hala düşünüyorum. AD ile entegre yapabiliriz. oradanda kontrolleri gerçekleştiririz. Bunu test ortamına sokacağız kesinliklede işte malum işler 🙂 

 
Gönderildi : 20/08/2009 14:04

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
Konu başlatıcı
 

Sitemde Makale Tarzı Bişey yaptım 🙂

 

http://www.ufuktatlidil.com/?p=672

 

Saygılar..

 
Gönderildi : 20/08/2009 14:51

(@alibirinci)
Gönderiler: 278
Reputable Member
 

Sevili arkadşaım ufuk;

 

izninle bir şey daha eklemek istiyorum yazıya..  Dansguardian kurulumunu standart yaptığımızda proxy_ip = 127.0.0.1 olarak geliyor.. bu halde iken auth 8080 portu üzerinden olmuyor.. ama proxy serverin ip sini yazdığımızda sorun kalmıyor..  

 

Not: dansguardian sürüm: 2.6. stable

dansguardian: 2.10.1.1

 
Gönderildi : 25/08/2009 19:56

Paylaş: