Forum
Bildirimler
Hepsini Temizle
Linux & Unix
15
Yazılar
4
Üyeler
0
Reactions
509
Görüntüleme
Konu başlatıcı
Merhaba ,
AD olan sisteminde proxy olarak kullandığım Squid , Dansguardian var. Kullanıcılar dansguardian üzerinden (proxy) nete çıkıyor. Ben kullanıcılar explorer açtığında dansguardian üzerinden kullanıcı adı ve şifre sorsun istiyorum. Kullanıcının logon kalma süresi vs. belirlemek istiyorum. Bu işlemi nasıl yapabilirim? Yardımlarınızı rica ederim.
Tşk.
Gönderildi : 17/08/2009 13:50
Eğer ortamda AD vasar Squid kullanıcılarını LDAp den authenticate edebilirsin.. http://group-ldap-auth.sourceforge.net/
ldap_auth_program /usr/lib/squid/group_ldap_auth -b dc=my-domain,dc=de -h \server.my-domain.de -p 636 -g distinguishedName -d CN=lookup,OU=Services,\OU=Users,DC=my-domain,DC=de -w lookup -u cn -m member -o group -S -l \/var/log/squid/ldaplogacl ldap_backoffice ldap_auth static 'CN=BackOffice,OU=Groups,dc=my-domain,dc=de'acl ldap_management ldap_auth static 'CN=Management,OU=Groups,dc=my-domain,dc=de'acl ldap_it-service ldap_auth static 'CN=IT-Service,OU=Groups,dc=my-domain,dc=de'acl ldap_development ldap_auth static 'CN=DEVELOPMENT,OU=Groups,dc=my-domain,dc=de'http_access allow ldap_developmenthttp_access allow ldap_backofficehttp_access allow ldap_managementhttp_access allow ldap_it-service
http_access deny all
Gönderildi : 17/08/2009 16:27
Konu başlatıcı
Hocam şöyle yapamaz mıyımz?
Squid üzerine kullanıcı ve şifre belirlesem , dans ile koordineli çalışıp dans üzerinden username password sorsa?
ldap olayını çözemedim.
Yardımlarınızı rica ederim.
Tşk.
Gönderildi : 17/08/2009 17:23
Konu başlatıcı
Tekrar Merahaba ,
Aşağıda ki kuralları ekleyerek squid üzerinden username ve pass. işlemlerini yaptım. Ancak benim sistemimde userlar squid-dansguardian proxy 8080 portundan çıkıyor. Bu durumu dansguardiana nasıl aktarabilirim? Ayrıca ben ortalama 30-40 kullanıcıya atıycam bu görevi , limit sorunu yaşarmıyım?
Kurallar ;
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
auth_param
basic program /usr/lib64/squid/ncsa_auth /etc/squid/squid_passwd
auth_param
basic children 50
auth_param
basic realm Squid proxy-caching web server
auth_param
basic credentialsttl 2 hours
auth_param
basic casesensitive off
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
acl
localnet src 10.1.0.0/24
http_access allow localnet password
acl
baglanti_sayisi maxconn 50
http_access deny
baglanti_sayisi
____________________________________
acl password proxy_auth REQUIRED
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users
__________________________________
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
[root@ ]# touch /etc/squid/squid_passwd
[root@ ]# chmod o+r /etc/squid/squid_passwd
Kullanıcı Ekleme ;
[root@ ]# htpasswd /etc/squid/squid_passwd ufuk ---- kullanıcı ismi ufuk ---
New password:
Re-type new password:
Adding password for user ufuk
Yardımlarınızı rica ederim.
Gönderildi : 18/08/2009 18:56
Ufuk selam
Bu işlemi neden Dansguardian üzerinden yapmak istediğini anlamadım. Çünkü Dansguardian senin de bildiğin gibi sadece içerik filtreleme. User authentication yapamazsın. Zaten net üzerinde yaptığım araştırmalar da bu bölümün henüz yazılmadığından bahsediyorlar. Yani gelecek te belki.
Squid üzerinden bu işlemi yaptıysan bence bu şekilde kalsın. Anladığım kadarı ile proxy, transparent olarak da ayarlamamışsın..
Yapman gereken Proxy i 3128 e transparent olarak ayarla ve kullanıcılara proxy üzerinden authenticate et. Proxy veritabanında olmayan kullancı zaten internete çıkamayacaktır.
Kolay gelsin
Gönderildi : 19/08/2009 18:06
Konu başlatıcı
Hocam IPTABLES üzerinde nat oluşturmuştum. Onu kaldırdım çalıştı. IP 3128 ve IP 8080 2sinde 'de şifre soruyor artık.
Teşekkürler.
Gönderildi : 19/08/2009 20:53
Bununla ilgili bir döküman hazırlayıp gönderebilirmisin.. Anlamadım ben.. proxy zaten normalde 8080 den çıkar. Transparent değilse 3128 i kullanmaz. Sen bunun ikisini nasıl kullanırıyorsun?
Gönderildi : 19/08/2009 21:14
Selam Erdal Hocam;
Squid 2.6 stable ile beraber 3128 veya 8080 diye ayırt etmiyyor.
sen http_port 3128 transparent yazıp firewallda 80. porta gelen istekleri 3128 e yönlendirirsen transparen olur. Ayrıca tarnsparent olunca zaten şifre sorma gibi bi durum olmuyor.İkisi birbiri ile çalışmıyor.Active directory ile squidi replike çalıştırabilirsiniz.Böylece domaindeki kullancıı internete girerken şifre sormaz ama kullanıcı bazlı log tutar fakat domain ortamının dışında internete girmek istediğinde kullanıcıya şifre sorar. kullancıı domainde kayıtlı ise kullanıcı adı ve şifresi ile girebilir.böylece yine isim bazlı kayıt tutabilirsiniz
Gönderildi : 19/08/2009 22:02
Bu sorunu ufukla beraber aşmıştık.. Sorunun çözümü şöyle oldu.. iptables da 8080 portunu 3128 yonlendiren nat rule vardır. bildiğimiz gibi dansguardian.conf donsyasında proxy serverle ilgili ip vede port ayarı var..
Enbaşta:
dansguardian: 8080 portunu dinliyor.
dansguardian squid port :3128
dansguardian squid ip : 127.0.0.1
iptables: 8080 portu 3128 yönlendirilmişdurunda..
Gerçekleşen olay: kullanıcılarda proxy port olarak 3128verildiğinde user ve pass soruyor. ama 8080 yazdığımızda birşey sormuyordu.. Sorunun iptables de olduğunu düşündüm. çünkü portu nat'ladığımızdan dolay geldiği yer belli olmuyordu.
Yapılan değişiklik : iptablesden nat rule iptal edildi.
Son durum
dansguardian: 8080 portunu dinliyor.
dansguardian squid port :3128
dansguardian squid ip : 127.0.0.1
Sonuc: Kullanıcı artık proxy ayarlarında 8080 portu yazdığımızda kullanıcı adı ve şifre soruyor..
Not: sunucu sadede proxy server olarak kullanılıyor. Gateway değildir..
Gönderildi : 20/08/2009 12:47
Konu başlatıcı
Alicim açıklaman için teşekkür ederim 🙂 Bu arada halen düşünüyor musun ? 🙂
Gönderildi : 20/08/2009 12:52
Selam Erdal Hocam;
Squid 2.6 stable ile beraber 3128 veya 8080 diye ayırt etmiyyor.
sen http_port 3128 transparent yazıp firewallda 80. porta gelen istekleri 3128 e yönlendirirsen transparen olur. Ayrıca tarnsparent olunca zaten şifre sorma gibi bi durum olmuyor.İkisi birbiri ile çalışmıyor.Active directory ile squidi replike çalıştırabilirsiniz.Böylece domaindeki kullancıı internete girerken şifre sormaz ama kullanıcı bazlı log tutar fakat domain ortamının dışında internete girmek istediğinde kullanıcıya şifre sorar. kullancıı domainde kayıtlı ise kullanıcı adı ve şifresi ile girebilir.böylece yine isim bazlı kayıt tutabilirsiniz
Cinlop,
Açıklaman için çok teşekkür ederim. Şimdi oldu. Arkadaşlar dans üzerinde kullanıcı adı şifre soruluyopr diyince kafam karıştı. Çünkü bu fonksiyon henüğz yazılmadı diye biliyorum. Squid üzerinden bu işlemi senin de dediğin gibi daha önce benim de yazdığım gibi AD üzerinden çözebiliriz.
Ama arkadaşlar zaten sorunu çözmüş.. Bu arada Ufuk'a bu konuyu açtığı için çok teşekküler..
Ufuk bence bunu bir döküman haline getir.. Yoksa unutursun.. 🙂
Herkese kolay gele
Gönderildi : 20/08/2009 13:52
Konu başlatıcı
Getirdim bile Erdal 🙂 Hatta siteme yazıcam birazdan 😉
Tşk.
Gönderildi : 20/08/2009 14:04
Alicim açıklaman için teşekkür ederim 🙂 Bu arada halen düşünüyor musun ? 🙂
Ufuk inan hala düşünüyorum. AD ile entegre yapabiliriz. oradanda kontrolleri gerçekleştiririz. Bunu test ortamına sokacağız kesinliklede işte malum işler 🙂
Gönderildi : 20/08/2009 14:04
Konu başlatıcı
Gönderildi : 20/08/2009 14:51
Sevili arkadşaım ufuk;
izninle bir şey daha eklemek istiyorum yazıya.. Dansguardian kurulumunu standart yaptığımızda proxy_ip = 127.0.0.1 olarak geliyor.. bu halde iken auth 8080 portu üzerinden olmuyor.. ama proxy serverin ip sini yazdığımızda sorun kalmıyor..
Not: dansguardian sürüm: 2.6. stable
dansguardian: 2.10.1.1
Gönderildi : 25/08/2009 19:56
