Neue features:
1. Firewall wird standardmäßig mit ldap-Authorisierung installiert.
Man muss also nur an den Clients den gateway als proxy einstellem:
http://proxy port 3128
2. Mit dem FAS ist es möglich acl-s von typ proxy_auth und ident zu
erstellen (proxy_auth selbsverständlich mit squidldap_auth).
Das heisst man kann für bestimmte Benutzern das Surfen auf nur
bestimmte Seiten begrenzen. So eine Enderung bedarf jedoch ein
Neustart des Firewalls.
Standardeinstellung ist: jeder der sich anmeldet kann überall hin,
bisauf der Webseieten die von squidGuard ausschliesst (siehe
nächste Punkt).
3. Auf der Firewall unter /root/bin gibt es 4 Skripte die man jetzt
AUF EIGENE GEFAHR benutzen kann. Ganz wichtig. Alles was auf der
Konfigurationsdiskette von FAS ist wird aus Sicherheitsgründen
mit 660-Rechten ins System kopiert. Deshlab mus man diese Skripte
so ausführen:
/bin/bash /root/bin/<skript>
a) getlist-suse holt die unter
ftp://ftp.suse.com/pub/people/varkoly/Schulserver
liegende backlists.tgz, pakt diese aus, bildet die neue
Datenbanken und startet squid neue.
Bei der Erstinstallation sollte man dies ausführen, sonts
freuen sich die SchülerInnen über ihre neue Freihiet sehr :-)
Will man dieses Skript automatisch ausführen lassen, editiere
man die Datei /etc/crontab auf der Firewall:
-------------->8------------------snip-------------->8---------------
################################################################
# To get the suse "blacklists" make these line active
# Um die SuSE Blacklists regelmäßig zu holen aktivieren
# Sie diese Zeile:
################################################################
#0 2 * * 0 root /bin/bash /root/bin/getlist-suse wait
-------------->8------------------snap-------------->8---------------
^ Kreuzle muss weg.
b) getlist holt die unter
http://ftp.teledanmark.no/pub/www/proxy/squidGuard/contrib/blacklists.tar.gz
liegende backlists.
sgclean gehört noch zu diesem Skript.
c) dyndns
Client um die IP bei dyndns aktuell zu halten von Dieter
Kroemer. Wie oben beschrieben wird diese Skript auch ohne
executable Rechte ins System kopiert, also es hat keinen Sinn
dieses Skript auf der Diskette ins /floppy/etc/ppp/ip.d zu kopieren.
Endweder dierekt ins Livesystem kopieren, oder es reicht wenn
man wieder /etc/crontab anfasst:
-------------->8------------------snip-------------->8---------------
################################################################
# Um das DynDNS-Skript von zu benutzen
# editieren Sie die Datei /root/bin/dyndns und ktivieren Sie
# die nächste Zeile
################################################################
#0-59/5 * * * * root /bin/bash /root/bin/dyndns
-------------->8------------------snap-------------->8---------------
^ Kreuzle muss weg.
WICHTIG!! Dieses Skript (dyndns) muss erst noch angepasst werden:
-------------->8------------------snip-------------->8---------------
#######################################################
## Configuration ##
## ##
## ##
## login-name, login-passwd hostname bei dyndns.org ##
## ##
USER=name
PASSWD=passwort
DYNHOSTNAME=dynname.dyndns.org
-------------->8------------------snap-------------->8---------------
^ Kreuzle muss weg.
Die Anpassungen an dieser Dateien führt man am beste mit dem FAS
durch: Konfiguration->Dateien Bearbeiten
4. Un jetzt das versprochene Bonbon: Man kann jetzerla Benutzer mit der
Administrationsweboerfläche einfach aus dem Surfen ausschliessen:
Benutzer->Bearbeiten->Internet erlauben/verbiten.
Dazu muss man allerdings noch volgendes Bemerken: Diese sperre greifft
erst, nachdem der auszusperrende mindestens 10 Minuten lang nicht
gesurft hat, oder squid neu gestartet worden ist.
Durch das Setzen der Variable "authenticate_ttl" in der Datei
/etc/squid.conf kann man die länge der "deadtime" beinflussen.
Man sollte auf keinen Fall diese auf 0 setzen, dann authorisiert
squidguard praktisch für jede einzelen URL gegen ldap :-((
Für diese Feature wurde eine neue Objektclasse in LDAP-angelegt.
Das heisst leider, durch einspielen von web-openschool.rpm -Uvh ist
ein Update noch nivht getan. Ich kann natürlich ein Skript schreiben
womit man von 0.83 auf 0.909 updaten kann, aber nur beim Bedarf.
Deshalb habe ich zuerst noch nix neues unter Updates auf der ftp-Seite.
Also bitte melden wen Bedarf da ist.
5. Einige kleine bugs habe ich noch raus.
Gruß und viel Spaß
--
-----------------------------------
Péter Varkoly -o)
SuSE Linux AG /\\
e-mail: Peter.Varkoly@suse.de _\_/
-----------------------------------
