Mirko Gasparovic schrieb:
Es soll nur eine bestimmte Benutzergruppe Zugriff auf das Internet haben. Die Benutzerverwaltung macht eine NT Maschiene. Auf dem Linux-Proxy läuft SQUID als Proxy. Wie kann ich auf dem Proxy realisieren dass nur eine Gruppe Zugriff hat? So wie es jetzt ist kann jeder aus dem lokalen Netz ins Internet. Das soll aber abgeschaltet werden damit die Azubis keinen Zugriff mehr haben. Vielen Dank schon mal für jede Hilfe.
Hallo, ein komplettes HOWTO kann ich dir leider nicht anbieten, da ich das selbst noch nicht gemacht habe. Ich habe aber das Problem schon mal durchdacht, weil es bei mir auf der Arbeit über kurz oder lang auch ansteht. Du brauchst dafür einen Squid mit NTLM-Authentifizierung und PAM-Module, mit denen der Linux-Proxy die Benutzer und Gruppen gegenüber der NT-Maschine, die die Benutzerverwaltung macht, prüfen kann. Als erstes musst du deinem Proxy beibringen, dass nur Benutzer mit Anmeldung vollen Internet-Zugriff haben sollen. Das geht über die ACLs, die man in der squid.conf einstellen kann. Die ist recht gut kommentiert, die ergänzende Doku auf der Squid-Homepage (www.squid-cache.org) hilft weiter. Wenn du das hast, werden die Anwender bei Benutzung des Proxys nach Benutzernamen und Kennwort gefragt. Auf dieser Stufe geht das natürlich nur mit lokalen Unix-Benutzern auf dem Proxy. Als zweites muss der Proxy die Benutzer gegenüber der NT-Maschine prüfen können. Wenn du nur einzelne Benutzer/Kennwort-Paare prüfen lassen willst, reichen PAM-Module wie pam_smb aus. Willst du später die NT-Gruppen benutzen, brauchst du das Winbind-Paket und das entsprechende pam_winbind-Modul. Winbind bindet einen Linux-Rechner in eine NT-Domäne ein und ermöglicht die Verwendung von Benutzern und Gruppen aus der Domäne. Beides (pam_smb und pam_winbind) gibt es von der Samba-Homepage, dort sollte auch Dokumentation zu finden sein. Wenn jetzt noch die Anwender automatisch angemeldet werden sollen, d.h. keine Aufforderung zur Kennwort-Eingabe erfolgen soll, kommt NTLM ins Spiel. NTLM ist ein Authentifizierungs-Verfahren, bei dem der Browser, wenn er nach Zugangsdaten gefragt wird, Benutzer, Gruppe und (soweit ich weiß) auch Kennwort (in Hash-Form) des gerade angemeldeten Windows-Benutzers sendet. Das können Zugangsdaten für einzelne Webseiten sein, aber eben auch für Proxy-Benutzung. Nicht alle Browser beherrschen NTLM. Der IE kann's (kann in den Untiefen der Internetoptionen aktiviert werden als "automatische Anmeldung" oder so), Mozilla und Firefox sollten es mittlerweile auch können, Opera weiss ich nicht. Squid kann ebenfalls NTLM, ist aber nicht immer aktiv. Sei aber gewarnt, NTLM ist nicht unproblematisch. Erstens gab es mal ein Sicherheitsleck im Squid-NTLM-Code, der aber mittlerweile gefixt sein sollte. Zweitens wandern bei NTLM u.U. kritische Kennwörter übers Netz, auch in's Internet. Soweit ich weiss, kann man dem IE nicht so ohne weiteres bebringen, diese Daten nur an den Proxy zu senden und nicht an alle Internetseiten, die eine Anmeldung erfordern. Ob das bei den Mozilla's geht, weiss ich nicht. Evtl. kann umgekehrt Squid die NTLM-Daten rausfiltern, bevor sie ins Internet wandern. Wenn du damit noch nicht so firm bist, würde ich dir raten, erst mal Schritt 1 und 2 zu versuchen und die Anwender daran zu gewöhnen, für Internetzugriff erneut ihre Anmeldung einzugeben. Wenn das soweit klappt, kannst du NTLM immer noch nachrüsten. Wenn eure Azubis nicht so rechnerfirm sind (ich weiss nicht, in welcher Art Firma du arbeitest) und keine direkten Hacker-Ambitionen haben, könntest du auch über System-/Gruppenrichtlinien der Windows-Maschinen den Proxy für die Azubis austragen und Änderungen der Einstellung verbieten (wenn sie IE benutzen). Mozilla/Firefox sollte ähnlich einstellbar sein, kenne mich damit aber überhaupt nicht aus. Frage an die anderen: gibt es auch Personal Firewalls, die über Richtlinien einstellbar sind und für die Azubis alle Zugriffe auf den Proxy blocken können? Bye, Andreas