Klingt sehr gut, auch wenn ich nur die Hälfte versteh... :)
Die Datei /var/ipfire/proxy/squid.conf is schon auf dem Server, nicht
auf dem IPFire, oder?!
Ich bring die beiden squid.conf's morgen mit und poste sie, wenn das
recht is.
Wäre toll, wenn Du Dir die mal anschaun würdest!
Und wäre natürlich erst recht toll, wenn Du Deine Firewall-Regeln posten
würdest!!! :)
Sehe ich das richtig: Du hast das ldap so bei Dir laufen, wie ich das
will? So dass beim Öffnen eines Internet-Browsers ein kleines Fenster
erscheint, in dem man Schul-Login und -PW eingeben muss?!?
(Nebenbei: Die 100 Euro Prämie, die ich am Anfang für eine Lösung des
Problems ausgelobt hab, ziehe ich zurück und erhöhe stattdessen auf 200
Euro. Muss allerdings noch mit dem Direktor sprechen...
Ich hab' an unserer Schule als Fast-Einzelkämpfer soooo viel Zeit und
Mühe investiert, wenn das eine Problem noch in den Griff zu kriegen
wäre, könnte ich mich vielleicht die nächsten Jahre entspannt
zurücklehnen und die Lorbeeren eines stabilen Systems ernten... :)
Gruß
Christoph
Am 24.02.2015 18:50, schrieb Frank Schütte:
Hallo Christoph,
OK, ich hab jetzt selbst mal die vorhin geposteten Dateien mit der
alten, funktionierenden Version verglichen und sie sind identisch. Daran
kann es also kaum liegen...
ich habe so einen Verdacht.
Hast du eine squid.conf von einem funktionierenden ipfire und
eine von einem nicht funktionierenden?
/var/ipfire/proxy/squid.conf
Bei mir ist der proxy auch mit Authorisierung mit der 6.1 in Betrieb und die
Benutzer werden gegenüber dem ldap authentifiziert.
Ich kann morgen in der Schule nachschauen, wie genau das eingerichtet ist.
Ich meine mich aber zu erinnern, dass ich eine Firewallregel für den Zugriff
des Proxy auf den Server-ldap einrichten musste.
In der squid.conf muss "for_inetusers" zu einigen Regeln hinzugefügt werden,
damit die Authentifizierung überhaupt abgefragt wird.
Ich habe einen Patch für das Skript
/var/linuxmuster/reload_proxy.sh in Betrieb, der die Abfrage des
Benutzernamens aktiviert.
----------------------
--- reload_proxy.sh.orig 2014-08-01 13:20:48.000000000 +0200
+++ reload_proxy.sh 2014-08-04 11:29:27.818058238 +0200
@@ -18,6 +18,12 @@
CUSTOM_INCLUDES_START="#Start of custom includes"
CUSTOM_INCLUDES_END="#End of custom includes"
+# PROXY auth required
+if grep -q "^acl for_inetusers" "$SQUIDCONF"; then
+ proxyauth=" for_inetusers"
+else
+ proxyauth=
+fi
# if there are allowed ips
if [ -s "$PROXY_ALLOWED_IPS" ]; then
@@ -26,7 +32,7 @@
if ! grep -q IPFire_allowed_ips "$INCLUDEACL"; then
touch "$INCLUDEACL"
echo "acl IPFire_allowed_ips src \"$PROXY_ALLOWED_IPS\"" >> "$INCLUDEACL"
- echo "http_access allow IPFire_allowed_ips within_timeframe" >>
"$INCLUDEACL"
+ echo "http_access allow IPFire_allowed_ips within_timeframe$proxyauth" >>
"$INCLUDEACL"
fi
if ! grep -q IPFire_allowed_ips "$SQUIDCONF"; then
if ! grep -q "$CUSTOM_INCLUDES_START" "$SQUIDCONF"; then
@@ -39,7 +45,7 @@
sed "/$CUSTOM_INCLUDES_START/ a\\
\\
acl IPFire_allowed_ips src \"$PROXY_ALLOWED_IPS\"\\
-http_access allow IPFire_allowed_ips within_timeframe" -i "$SQUIDCONF"
+http_access allow IPFire_allowed_ips within_timeframe$proxyauth" -i
"$SQUIDCONF"
fi
else # remove allowed_ips statement
@@ -52,7 +58,7 @@
# if there are unrestricted ips
if [ -s "$PROXY_UNRESTRICTED_IPS" ]; then
- # test if banned_ip statement is already there, if not add it
+ # test if unrestricted_ips statement is already there, if not add it
if ! grep -q ^"acl IPFire_unrestricted_ips" $SQUIDCONF; then
sed -e "/acl CONNECT method CONNECT/i\
acl IPFire_unrestricted_ips src \"$PROXY_UNRESTRICTED_IPS\"" -i
"$SQUIDCONF"
-----------------------
Gruß,
Frank Schütte
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
