Kann man Bereiche aus der squid.conf outsourcen? Gibt es eine Art include? Wenn ja, wie muß das aussehen?
Damit soll z.B. die Pflege der Accesslisten erleichtert werden.
Danke!
Schnoof
Kann man Bereiche aus der squid.conf outsourcen? Gibt es eine
Art include? Wenn ja, wie muß das aussehen?Damit soll z.B. die Pflege der Accesslisten erleichtert
werden.
Siehe squid.conf
# TAG: acl
# Defining an Access List
#
# acl aclname acltype string1 ...
# acl aclname acltype "file" ...
#
# when using "file", the file should contain one item per line
[...]
Gruss
Schorsch
Siehe squid.conf
TAG: acl
Defining an Access List
acl aclname acltype string1 …
acl aclname acltype „file“ …
when using „file“, the file should contain one item
per line
[…]
Huch, das habe ich glatt übersehen. Danke!
Nun habe ich das umgesetzt. Jetzt habe ich ein Problem: Die Domain wer-weiss-was.de zum Beispiel ist gar nich in den ACLs enthalten, und daher muß ich mich an der NT-Domäne authentifizieren. Das klappt auch prima (ich surfe w-w-w an, das Authfenster erscheint, erst nach Überprüfen des Passworts wird w-w-w geladen). Ich kann mich nun allerdings nicht mehr in wer-weiss-was einloggen (Time out). Hat irgendjemand eine Idee?
Danke
Schnoof
Nun habe ich das umgesetzt. Jetzt habe ich ein Problem: Die
Domain wer-weiss-was.de zum Beispiel ist gar nich in den ACLs
enthalten, und daher muß ich mich an der NT-Domäne
authentifizieren.
Also jeder darf auf explizit freigegebenen Seiten rumsurfen, für alle nicht freigegebenen Seite ist eine Anmeldung erforderlich?
Das klappt auch prima (ich surfe w-w-w an,
das Authfenster erscheint, erst nach Überprüfen des Passworts
wird w-w-w geladen). Ich kann mich nun allerdings nicht mehr
in wer-weiss-was einloggen (Time out). Hat irgendjemand eine
Idee?
Bekommst du anstelle der w-w-w-Seite gleich den timeout vorgeschmissen? Oder wird w-w-w zwar angezeigt, kannst du deine Userdaten eingeben, aber beim Klick auf Anmelden kommt’s zum Timeout? Was sagt die access.log (und ggf. die Authentifizierungslogs) dazu? Wie sieht’s mit anderen websites aus, für die Squid eine Anmeldung verlangt?
Gruss
Schorsch
Nun habe ich das umgesetzt. Jetzt habe ich ein Problem: Die
Domain wer-weiss-was.de zum Beispiel ist gar nich in den ACLs
enthalten, und daher muß ich mich an der NT-Domäne
authentifizieren.Also jeder darf auf explizit freigegebenen Seiten rumsurfen,
für alle nicht freigegebenen Seite ist eine Anmeldung
erforderlich?
Genau so, es gibt ein paar explizit verbotene, einige explizit freigegebene und alle anderen sind nur fuer Nutzer einer speziellen Gruppe nach Anmeldung zugaenglich.
Das klappt auch prima (ich surfe w-w-w an,
das Authfenster erscheint, erst nach Überprüfen des Passworts
wird w-w-w geladen). Ich kann mich nun allerdings nicht mehr
in wer-weiss-was einloggen (Time out). Hat irgendjemand eine
Idee?Bekommst du anstelle der w-w-w-Seite gleich den timeout
vorgeschmissen? Oder wird w-w-w zwar angezeigt, kannst du
deine Userdaten eingeben, aber beim Klick auf Anmelden kommt’s
zum Timeout? Was sagt die access.log (und ggf. die
Authentifizierungslogs) dazu? Wie sieht’s mit anderen websites
aus, für die Squid eine Anmeldung verlangt?
Die Seite wird geladen, Problem gibt’s bei POSTs, also wenn ich Daten irgendwohin schicken will. Bei wer-weiss-was scheitert’s beim Login, in einem anderen Forum kann ich nicht posten, bei GMX konnte ich mich auch nicht einloggen und der Web-Mail-Client meiner Uni war gar nicht erst erreichbar, es kam nicht mal die Meldung, dass ich einen gesicherten Bereich betrete. Online-Banking klappte merkwuerdigerweise. Alles andere, was ich nach der Umstellung so machte, funktionierte. Die Time-out-Fehlermeldung erschien erst nach etwa drei Minuten. In der access.log waren alle GETs OK, bei den POSTs stand u.a. TCP_MISS:NONE.
Die genauen Logs kann ich erst am Donnerstag posten, es sei denn, ich werde schon vorher auf Arbeit beordert, weil keiner mit dem neuen Proxy arbeiten kann. ;o)
Bis denne
Schnoof
Die Seite wird geladen, Problem gibt’s bei POSTs, also wenn
ich Daten irgendwohin schicken will. Bei wer-weiss-was
scheitert’s beim Login, in einem anderen Forum kann ich nicht
posten, bei GMX konnte ich mich auch nicht einloggen und der
Web-Mail-Client meiner Uni war gar nicht erst erreichbar, es
kam nicht mal die Meldung, dass ich einen gesicherten Bereich
betrete. Online-Banking klappte merkwuerdigerweise. Alles
andere, was ich nach der Umstellung so machte, funktionierte.
Die Time-out-Fehlermeldung erschien erst nach etwa drei
Minuten. In der access.log waren alle GETs OK, bei den POSTs
stand u.a. TCP_MISS:NONE.
Es ist moeglich, genaugenommen sogar wahrscheinlich, dass das Onlinebanking zu den explizit freigegebenen Seiten gehoert.
Bis denne
Schnoof
Die Seite wird geladen, Problem gibt’s bei POSTs, also wenn
ich Daten irgendwohin schicken will. Bei wer-weiss-was
scheitert’s beim Login, in einem anderen Forum kann ich nicht
posten, bei GMX konnte ich mich auch nicht einloggen und der
Web-Mail-Client meiner Uni war gar nicht erst erreichbar, es
kam nicht mal die Meldung, dass ich einen gesicherten Bereich
betrete. Online-Banking klappte merkwuerdigerweise. Alles
andere, was ich nach der Umstellung so machte, funktionierte.
Die Time-out-Fehlermeldung erschien erst nach etwa drei
Minuten. In der access.log waren alle GETs OK, bei den POSTs
stand u.a. TCP_MISS:NONE.
Der Fehler dürfte in den ACLs liegen. Hast du eine ACL acl aclname method GET definiert? in diesem Fall benötigst du auch noch einen korrespondierenden Eintrag acl aclname method POST. Alternativ noch der Warnhinweis aus der Doku: proxy_auth can’t be used in a transparent proxy…
Gruss
Schorsch
Der Fehler dürfte in den ACLs liegen. Hast du eine ACL acl
aclname method GET definiert? in diesem Fall benötigst du
auch noch einen korrespondierenden Eintrag acl aclname
method POST . Alternativ noch der Warnhinweis aus der Doku:
proxy_auth can’t be used in a transparent proxy…
Ich wüßte nicht, daß sowas definiert ist. Vor allem: es hat tadellos funktioniert, bis ich die ACLs in externen Dateien gelagert hatte. Wenn die Dateien Fehler enthielten, dann würden sicher auch die GETs nicht funktionieren, und v.a. würden dann auch für explizit freigegebene Seiten die Authentifizierung verlangt. Was ist ein transparenter Proxy?
Soll ich Dir mal am Montag die Zeilen aus der Konfig schicken? Vielleicht habe ich ja irgendwo aus Versehen was gelöscht, was mir nicht auffällt.
Bis denne
Schnoof
Ich wüßte nicht, daß sowas definiert ist. Vor allem: es hat
tadellos funktioniert, bis ich die ACLs in externen Dateien
gelagert hatte. Wenn die Dateien Fehler enthielten, dann
würden sicher auch die GETs nicht funktionieren, und v.a.
würden dann auch für explizit freigegebene Seiten die
Authentifizierung verlangt.
Bei so einem Umbau kann natürlich schon einiges schiefgehen, insbesondere, da die Reihenfolge der Regeln für die einwandfreie Funktion überaus wichtig ist.
Was ist ein transparenter Proxy?
Wenn du das nicht weisst, hast du wahrscheinlich auch keinen. Wenn deine User direkt den Gateway ansprechen, und dieser alle Anfragen ins Internet zwangsweise auf den Proxy forwarded, so dass in den Browsereinstellungen keinerlei Proxykonfiguration erforderlich ist, ist das ein transparenter, also für den Anwender nicht sichtbarer Proxy. Schön beschrieben unter http://hubertus.sandmann.bei.t-online.de/l_trans.htm
Soll ich Dir mal am Montag die Zeilen aus der Konfig schicken?
Vielleicht habe ich ja irgendwo aus Versehen was gelöscht, was
mir nicht auffällt.
Kannst du machen. Dann benötige ich aber den vollständigen Satz, also auch die ausgelagerten ACLs.
Gruss
Schorsch