Hallo zusammen
Ich (3.Lj) habe den Auftrag bekommen, einen Squid-Server für eine Schule aufzusetzen. Ich habe mich dabei für die aktuellste Version von Squid und Ubuntu Server als OS entschieden.
Ich bin jetzt schon rund 2 Wochen daran und komme nicht mehr weiter, vielleicht könnt ihr mir ja helfen:
Es gibt rund 3'000 unterschiedliche, variable Clients die sich per 802.1X (PEAP - MSCHAPv2) über den Switch am Radius-Server authentifizeren um Zugriff auf unser Netzwerk zu bekommen. Nun hätte ich gerne diese Authentifizierung an Squid übergeben, damit ich später die Clients über die Gruppen auf dem AD bequem verwalten kann und diese den Benutzername und das Kennwort nicht noch ein zweites Mal eingeben müssen. Eigentlich dachte ich, dass dies nicht so schwierig sein kann, da sooo viele "Authenticators" existieren und dies (meiner Meinung nach) ein halbwegs "normaler" Usecase ist. Jedoch bin ich entweder zu blöd den richtigen zu finden oder es gibt noch nichts passendes :???:
Zumindest in der Theorie sollte dies doch möglich sein, denn in der Ereignisanzeige auf dem Radius-Server findet man den Benutzername und die MAC-Adresse und die MAC-Adresse könnte man dann wiederum über die Ereignisanzeige des DHCP-Servers (oder arp -a im gleichen Netz) in eine IP-Adresse umsetzen, so dass die Zuordnung von Benutzer und IP erstellt wird. Kennt jemand ein Authenticator der mir in diesem Fall helfen könnte? Oder meint ihr ich habe eine Chance, mit meinem doch noch ziemlich begrenzten Wissen, dieses Programm selbst zu schreiben?
Nun habe ich noch 3 kleinere Fragen (oder Frägchen):
1. Leider kann man bekanntlich keinen transparenten SSL-Proxy erstellen. So ist es nötig Proxyeinstellungen von Hand vorzunehmen oder zu hoffen, dass die Clientprogramme WPAD unterstützen. Ist es nicht irgendwie möglich den Squid-Server als Gateway anzugeben so dass man doch irgendwie den Inhalt filtern kann? Oder wie macht man dies normalerweise (natürlich ohne zusätzlich Konfiguration am Client)? Gibt es allenfalls eine Squid-Alternative die dies unterstützt?
2. Da wir eine Berufsschule sind, haben wir leider auch Informatiklehrlinge, die durchaus in der Lage wären, andere Dienste als https über 443 zu versenden. Würde dies Squid merken und ggf. blockieren? Wenn dies nicht blockiert werden könnte, würde zumindest der verursachte Traffic gemessen werden (so dass Delaypools greifen würden)?
3. Ich habe mich noch nicht allzusehr mit den Delaypools beschäftigt, aber es beunrhigt mich dass diese einerseits "...pools" heissen und ich andereseits nie gelesen habe, dass man diese auf einzelne Benutzer/IP's beziehen kann, ohne diese explizit angeben zu müssen. Ich hoffe aber schon das dies geht. Kann mir das jemand bestätigen?
Vielen Dank für eure Zeit
Gruss
Edit: Genauer zu 3: Ich meine natürlich nicht, dass alle eine eigene Geschwindigkeit haben (User A: 40kb/s;User B: 60kb/s;User C: 80kb/s), sondern alle die selbe eigene (User A: 40kb/s;User B: 40kb/s;User C: 40kb/s), jedoch nicht die Summe aller (User A+User B+User C: 120kb/s). Irgendwie schwierig zu erklären.
Ich (3.Lj) habe den Auftrag bekommen, einen Squid-Server für eine Schule aufzusetzen. Ich habe mich dabei für die aktuellste Version von Squid und Ubuntu Server als OS entschieden.
Ich bin jetzt schon rund 2 Wochen daran und komme nicht mehr weiter, vielleicht könnt ihr mir ja helfen:
Es gibt rund 3'000 unterschiedliche, variable Clients die sich per 802.1X (PEAP - MSCHAPv2) über den Switch am Radius-Server authentifizeren um Zugriff auf unser Netzwerk zu bekommen. Nun hätte ich gerne diese Authentifizierung an Squid übergeben, damit ich später die Clients über die Gruppen auf dem AD bequem verwalten kann und diese den Benutzername und das Kennwort nicht noch ein zweites Mal eingeben müssen. Eigentlich dachte ich, dass dies nicht so schwierig sein kann, da sooo viele "Authenticators" existieren und dies (meiner Meinung nach) ein halbwegs "normaler" Usecase ist. Jedoch bin ich entweder zu blöd den richtigen zu finden oder es gibt noch nichts passendes :???:
Zumindest in der Theorie sollte dies doch möglich sein, denn in der Ereignisanzeige auf dem Radius-Server findet man den Benutzername und die MAC-Adresse und die MAC-Adresse könnte man dann wiederum über die Ereignisanzeige des DHCP-Servers (oder arp -a im gleichen Netz) in eine IP-Adresse umsetzen, so dass die Zuordnung von Benutzer und IP erstellt wird. Kennt jemand ein Authenticator der mir in diesem Fall helfen könnte? Oder meint ihr ich habe eine Chance, mit meinem doch noch ziemlich begrenzten Wissen, dieses Programm selbst zu schreiben?
Nun habe ich noch 3 kleinere Fragen (oder Frägchen):
1. Leider kann man bekanntlich keinen transparenten SSL-Proxy erstellen. So ist es nötig Proxyeinstellungen von Hand vorzunehmen oder zu hoffen, dass die Clientprogramme WPAD unterstützen. Ist es nicht irgendwie möglich den Squid-Server als Gateway anzugeben so dass man doch irgendwie den Inhalt filtern kann? Oder wie macht man dies normalerweise (natürlich ohne zusätzlich Konfiguration am Client)? Gibt es allenfalls eine Squid-Alternative die dies unterstützt?
2. Da wir eine Berufsschule sind, haben wir leider auch Informatiklehrlinge, die durchaus in der Lage wären, andere Dienste als https über 443 zu versenden. Würde dies Squid merken und ggf. blockieren? Wenn dies nicht blockiert werden könnte, würde zumindest der verursachte Traffic gemessen werden (so dass Delaypools greifen würden)?
3. Ich habe mich noch nicht allzusehr mit den Delaypools beschäftigt, aber es beunrhigt mich dass diese einerseits "...pools" heissen und ich andereseits nie gelesen habe, dass man diese auf einzelne Benutzer/IP's beziehen kann, ohne diese explizit angeben zu müssen. Ich hoffe aber schon das dies geht. Kann mir das jemand bestätigen?
Vielen Dank für eure Zeit
Gruss
Edit: Genauer zu 3: Ich meine natürlich nicht, dass alle eine eigene Geschwindigkeit haben (User A: 40kb/s;User B: 60kb/s;User C: 80kb/s), sondern alle die selbe eigene (User A: 40kb/s;User B: 40kb/s;User C: 40kb/s), jedoch nicht die Summe aller (User A+User B+User C: 120kb/s). Irgendwie schwierig zu erklären.