• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Wie würdet ihr am Squid authentifizieren?

toady

Newbie
Hallo zusammen,

ich wollte mal eure Meinung zum Thema Authentifizierung am Squid hören.
Was haltet ihr für den besten Weg, Benutzern Restriktionen aufzudrücken (ob mit oder ohne Passwortabfrage ist erstmal egal) und für externe Mitarbeiter eine Authentifizierung für den Netzwerkzugriff von außen einzurichten.

Wie gesagt, nur mal'n paar Meinungen vom Fachmann. Ich bin im Übrigen keiner...

Danke!
greetz
toady
 
A

Anonymous

Gast
Die Aufgabe von Squid ist nicht die Authentifizierung externer Mitarbeiter für den Zugriff auf das innere Netzwerk. Squid richtet stellvertretend Anfragen an Webserver. Dies kann dann mit oder ohne Authentifizierung geschehen. Es ist eine Möglichkeit, Rechnern mit inoffiziellen IP-Adressen den Zugriff auf's Internet zu ermöglichen, und spielt in einigen Sicherheitsszenarien eine Rolle.
 

moenk

Administrator
Teammitglied
Ich nehme mal an es geht darum dass nicht jeder ins Internet soll. Man kann die Benutzung von Squid an ein SMB-Login binden, habe ich aber noch nicht ausprobiert.
http://www.fastdatatech.com/documentation/using-winbind.pdf
 

Mister Magu

Newbie
Hallo zusammen,

wie der Admin schon gesagt hat, wäre es eine möglichkeit den Squid an ein SMB Login zu binden.

Der Nachteil daran ist halt dass auf den Clients Windows installiert sein sollte, was wiederum sicherheitslücken zum Vorschein bringt, aber im Hinblick auf den sowieso vorhandenen Squid demnach keine so große Rolle mehr spielt.

Es ist halt etwas schwieriger unter SMB die Benutzerrechte bzw. eine ausreichende Authentifikation einzubinden als es unter anderen Applikationen der Fall ist.

Es müssen halt einige Dateien von Hand nachgebessert werden aber ansonsten ist es eine feine Sache.
 
A

Anonymous

Gast
Mister Magu schrieb:
Der Nachteil daran ist halt dass auf den Clients Windows installiert sein sollte, was wiederum sicherheitslücken zum Vorschein bringt,

Warum sollte sonst ein Samba im Netzwerk laufen? Ohne Win-Clients würde der ja keinen Sinn machen. Dies ist aber nicht das Thema hier.
 
OP
toady

toady

Newbie
Moin!

danke für die Tips!
Das SQUID selber nicht zum authentifizieren ist weiß ich. Hab mich da vielleicht falsch ausgedrückt.

Die Authentifizierung soll vor allem von außen stattfinden. Wenn sich externe Mitarbeiter ins LAN einwählen wollen, hätt ich sie gern vorher an der Firewall nochmal geprüft.

SMB wär ein wenig umständlich, da wir noch keinen am laufen haben. Und die Clients sind eh alle Windows.

Gruß
toady
 
Morgen,

meinst du das dann bei den Usern eine User- und Passwortabfrage kommt oder soll eher im Hintergrund die IP oder MAC geprüpft werden?? Des ist aus deiner Beschreibung nicht so klar zu erkennen (mal nicht für mich)!!
 

L-user

Newbie
Hallo zusammen ,

ich (werde) Authentifiziere die user jetzt über Samba/Winbind und PAM gegen eine Windows-Server-2003 Active Directory Domäne. (endlich fertig :lol: )

Mit Squid und SquidGuard steuere ich jetzt den Webzugriff .
Und für die Rechtliche-Sicherheit loge ich noch die user (mit Einverständnis).

Leider muss man noch SquidGuard eine User Namensliste geben,wenn jemand weis wie man das umgehen kann wäre ich ihm dankbar.

in etwa so:
Code:
src User {
  userlist    /etc/squid/user
}

PS:wenn die Clients alle Windows sind BRAUCHST du sowieso Samba.

Gruß L-user :wink:
 
OP
toady

toady

Newbie
Moin,

VPN machen wir ja (Cisco). Allerdings gibt's hier und da Leute, denen das nicht ausreicht.
Und mir fehlen da leider die Argumente...

Gruß,
toady
 
moin

ich glaub er meint ne authentifizierung ala RADIUS !


gruß Alex

------------------------------------------------------------------------------------
krieg gerade wieder nen hals hätte beinahe meine prüfung wegen dem thema versemmelt sch.... RADIUS
 

Frankie777

Advanced Hacker
Ich glaube, er meint:
Wie kontrolliere ich die Aktivitäten des VPN-Clients im LAN, z.B. das der nicht seine Internetanfragen ins LAN schickt, Wärmer an Port 445 anklopfen läßt oder die LAN-Clients ausforscht.

Das kann man aber nur sinnvoll beantworten, wenn man weiß was die VPN Clients machen sollen.
Datenzugriff, TerminalServer, drucken, etc.
Dann kann man dazu was sagen.
 
Oben