17
Proxy Automatisierung
Ich arbeite in einer Schule als Administrator. Dort habe ich nun als Abschlussprojekt die Aufgabe erhalten, über unsere eingesetzte Internet Gateway eine Synchronisation mit dem LDAP Server zu erzielen, sodass sobald ein Schüler seinen Browser öffnet
eine Benutzername und Kennwort abfrage erscheint. Diese Daten sollen dann von dem LDAP bezogen und kontroliert werden.
Da die Internet Gateway nur über den Proxy ansprechbar ist (IP 10.10.3.120 Port 3128) und die Schüler zu faul oder zu unwissend sind um den Proxy per Hand einzutragen, soll ich nun auch ein Script zur automatisierten Proxy Vergabe erstellen welches im
Internet Explorer sowie in Mozilla Firefox funktioniert.
Meine Frage ist daher nun wie erstelle ich ein Script oder ähnliches zur Proxy Vergabe unter dem IE sowie Firefox und wie wird es dann automatisch übertragen sodass der Schüler nichts machen muss?
Über Gruppelrichtlinien funktioniert es nicht, da wir kein AD im einsatz haben.
Ich bitte um eure Hilfe!
Mit freundlichen Grüßen
Carsten
Internet Explorer sowie in Mozilla Firefox funktioniert.
Meine Frage ist daher nun wie erstelle ich ein Script oder ähnliches zur Proxy Vergabe unter dem IE sowie Firefox und wie wird es dann automatisch übertragen sodass der Schüler nichts machen muss?
Über Gruppelrichtlinien funktioniert es nicht, da wir kein AD im einsatz haben.
Ich bitte um eure Hilfe!
Mit freundlichen Grüßen
Carsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140956
Url: https://administrator.de/contentid/140956
Printed on: April 19, 2024 at 22:04 o'clock
17 Comments
Latest comment
Hallo,
das script für den proxy verteilst du per dhcp (wpad bzw. proxy.pac),
ansonsten was für nen proxy bzw. was für ein Betriebssystenm soll es denn sein?
http://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
das script für den proxy verteilst du per dhcp (wpad bzw. proxy.pac),
ansonsten was für nen proxy bzw. was für ein Betriebssystenm soll es denn sein?
http://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Hallo,
für Deine erstes Problem, die Verteilung der Proxy-Einstellungen, findest Du hier eine Lösung (trotz der Domain ohne GPO!):
http://www.gruppenrichtlinien.de/index.html?/HowTo/Automatische_Proxyko ...
Der zweite Punkt, die LDAP-Authentifizierung, hängt vom Proxy ab. Welchen setzt Ihr ein?
Beim squid tut es die folgende Zeile in der squid.conf (im Beispiel für die Auth an einem AD, "sAMAccountName", OU etc. sind bei anderen LDAP-Servern ggf. anzupassen.
Voraussetzung ist, dass es dann noch eine acl in der squid.conf gibt, die den authentifizierten Nutzern Zugriff gewährt und denanderen nicht. Eine Suche nach "squid" und "LDAP" sollte aber einiges zu Tage fördern.
Grüße
für Deine erstes Problem, die Verteilung der Proxy-Einstellungen, findest Du hier eine Lösung (trotz der Domain ohne GPO!):
http://www.gruppenrichtlinien.de/index.html?/HowTo/Automatische_Proxyko ...
Der zweite Punkt, die LDAP-Authentifizierung, hängt vom Proxy ab. Welchen setzt Ihr ein?
Beim squid tut es die folgende Zeile in der squid.conf (im Beispiel für die Auth an einem AD, "sAMAccountName", OU etc. sind bei anderen LDAP-Servern ggf. anzupassen.
auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=OU,dc=DOMAIN,dc=LOCAL" -f sAMAccountName=%s -h IP_DES_LDAPSERVERS -D "cn=ADMINUSER,cn=users,dc=DOMAIN,dc=LOCAL" -w "PASSWORT" Voraussetzung ist, dass es dann noch eine acl in der squid.conf gibt, die den authentifizierten Nutzern Zugriff gewährt und denanderen nicht. Eine Suche nach "squid" und "LDAP" sollte aber einiges zu Tage fördern.
Grüße
Der Proxy soll die 10.10.3.120 Port 3128 sein
Der Proxy ist direkt in der Firewall intergriert, welche als Internet Gateway fungiert
Sollte eigentlich unter allen funktionieren -.-
Aber für die Testumgebung reicht eigentlich Windows aus, da dies am häufigsten von den Schülern genutzt wird. Wiederrum kann ich da nich genau sagen welche
Version, da ich nichma eben auf die Schüler Notebooks gucken kann ich denke von XP, Vista und 7 ist alles dabei das ist das nächste Problem ...
Der Proxy ist direkt in der Firewall intergriert, welche als Internet Gateway fungiert
Sollte eigentlich unter allen funktionieren -.-
Aber für die Testumgebung reicht eigentlich Windows aus, da dies am häufigsten von den Schülern genutzt wird. Wiederrum kann ich da nich genau sagen welche
Version, da ich nichma eben auf die Schüler Notebooks gucken kann ich denke von XP, Vista und 7 ist alles dabei das ist das nächste Problem ...
Soweit ich das verstanden habe müsste ich dann für die Benutzung noch einen DNS Server sowie einen Webserver für die automatische Verteilung unter Firefox angeben
wenn es denn anders geht würde ich liebe auf dieses verzichten wobei der Rest so funktionieren sollte.
Bei der LDAP Authentifizierung ist das Problem das der extern verwaltet wird und ich somit mich dem Anbieter ertsmal in Kontakt setzen müsste. Des weiteren habe ich auch keine wirklich Ahnung von Linux ...
Ich danke euch für die schnellen Antworten
wenn es denn anders geht würde ich liebe auf dieses verzichten wobei der Rest so funktionieren sollte.
Bei der LDAP Authentifizierung ist das Problem das der extern verwaltet wird und ich somit mich dem Anbieter ertsmal in Kontakt setzen müsste. Des weiteren habe ich auch keine wirklich Ahnung von Linux ...
Ich danke euch für die schnellen Antworten
wenn es denn anders geht würde ich liebe auf dieses verzichten
Das Problem ist, dass der IE die Einstellungen in der Registry und der FF die Einstellungen in einer Datei speichert. Du müsstest also per Script einerseits REG-Schlüssel und dann auch noch die FF-Konfig-Datei verteilen. Ist aber im Prinzip möglich. Die Frage ist nur, ob es dann nach dem nächsten Update (und gerade der FF mach ja schneller Updates, als man "Microsoft" sagen kann), noch genau so funktioniert...
Ok die sache mit dem Update ist ertsmal ergal (ist eh erstmal nur ein Testprojekt und ne ganz andere Sache ob es aktiv jemals eingesetzt wird)
aber wie verteile ich nun diese beiden Scripts sodass sie automatisch von den beiden Browsern beim öffnen ausgelesen werden?
vielen dank für deine Hilfe
aber wie verteile ich nun diese beiden Scripts sodass sie automatisch von den beiden Browsern beim öffnen ausgelesen werden?
vielen dank für deine Hilfe
Moin,
ich würde das so machen das ich mir 2 Firewalls aufsetze. Eine vor dem Proxy (praktisch zwischen Proxy und Schüler). Diese nimmt alles was die auf Port 80 findet und leitet das direkt an den Proxy auf Port 3128 um. Die Firewall dahinter lässt logischerweise nur noch den Proxy durch und dient dem Schutz zwischen Internet und Proxy.
Alternativ einfach mal nach Squid & Transparenter Proxy gucken -> dann umgehst du das ganze auch...
Das mit der Proxy.pac u.ä. geht leider nur wenn die Schüler MS-Systeme nutzen und das ganze darauf auch läuft. Der transparente Proxy oder die Umleitung funktioniert dagegen mit JEDEM Browser in jedem OS -> da der stumpf ins Protokoll greifft ...
ich würde das so machen das ich mir 2 Firewalls aufsetze. Eine vor dem Proxy (praktisch zwischen Proxy und Schüler). Diese nimmt alles was die auf Port 80 findet und leitet das direkt an den Proxy auf Port 3128 um. Die Firewall dahinter lässt logischerweise nur noch den Proxy durch und dient dem Schutz zwischen Internet und Proxy.
Alternativ einfach mal nach Squid & Transparenter Proxy gucken -> dann umgehst du das ganze auch...
Das mit der Proxy.pac u.ä. geht leider nur wenn die Schüler MS-Systeme nutzen und das ganze darauf auch läuft. Der transparente Proxy oder die Umleitung funktioniert dagegen mit JEDEM Browser in jedem OS -> da der stumpf ins Protokoll greifft ...
Das Problem ist das ich nichmal eben so ne 2te Firewall einbauen kann.
also nochmal zum besseren Verständnis habs vil nicht klar genug ausgedrückt
Die Firewall (10.10.3.120) ist Firewall, sowie Internet Gateway sowie Proxy Server in einem. Die Schüler müssen im Browser den Proxy also 10.10.3.120 Port 3128 intragen um ins Netz zu gelangen. Ohne diesen bekommen sie keine Verbindung. Als Internet Gateway muss ebenfalls die 10.10.3.120 eingetragen werden ( Das Problem hab ich durch den DHCP Server entfernt). Die Schüler müssen nun nur noch den Proxy automatisch eingetragen bekommen sobald sie sich am Accesspoint verbinden und eine IP über den DHCP Server bekommen.
also nochmal zum besseren Verständnis habs vil nicht klar genug ausgedrückt
Die Firewall (10.10.3.120) ist Firewall, sowie Internet Gateway sowie Proxy Server in einem. Die Schüler müssen im Browser den Proxy also 10.10.3.120 Port 3128 intragen um ins Netz zu gelangen. Ohne diesen bekommen sie keine Verbindung. Als Internet Gateway muss ebenfalls die 10.10.3.120 eingetragen werden ( Das Problem hab ich durch den DHCP Server entfernt). Die Schüler müssen nun nur noch den Proxy automatisch eingetragen bekommen sobald sie sich am Accesspoint verbinden und eine IP über den DHCP Server bekommen.
Hallo,
unter welchem OS laufen die Clients? Wer ist der DHCP-Server (der Accesspoint oder ein zentraler Server)? Gibt es einen zentralen Server? Vielleicht sogar als Anmeldeserver (der LDAP-Server)? Unter welchem OS läuft der? Dann können wir konkreter werden.
unter welchem OS laufen die Clients? Wer ist der DHCP-Server (der Accesspoint oder ein zentraler Server)? Gibt es einen zentralen Server? Vielleicht sogar als Anmeldeserver (der LDAP-Server)? Unter welchem OS läuft der? Dann können wir konkreter werden.
Moin,
naja - du kannst den Proxy immernoch als transparent einrichten... Dann brauchen die Schüler nix eintragen - für die ist es als wenn die direkt ins Netz gehen. Nur das die eben beim ersten Anmelden irgendwelche Nutzerdaten eintragen müssen...
Wobei ich nicht den Grund sehe warum man nicht ne 2te FW einbauen kann... Das ist normalerweise Netzdesign für Anfänger -> wobei die EINRICHTUNG dieser FW natürlich nicht unbedingt was für Anfänger ist..
naja - du kannst den Proxy immernoch als transparent einrichten... Dann brauchen die Schüler nix eintragen - für die ist es als wenn die direkt ins Netz gehen. Nur das die eben beim ersten Anmelden irgendwelche Nutzerdaten eintragen müssen...
Wobei ich nicht den Grund sehe warum man nicht ne 2te FW einbauen kann... Das ist normalerweise Netzdesign für Anfänger -> wobei die EINRICHTUNG dieser FW natürlich nicht unbedingt was für Anfänger ist..
die cleints sind in dem Fall ja die Notebooks der Schüler also ihre Privat mitgebrachten, von daher kann ich schlecht überprüfen welches OS auf diesen läuft ich denke aber Windows hauptsächlich aber von dem von XP bis 7 alles dabei
den DHCP Server hab ich aufgestezt läuft unter einem Windows Server 2003
im Prinzip soll es so funktionieren
Privates Schülernotebook ---> Zugriff auf Accesspoint IP erhalten die Clients vom DHCP Server ---> bei Browseraufruf soll eine Benutzername und Kennwort abfrage kommen von der Internet Gateway wobei aber der Proxy eingetragen sein muss also ebenfalls die IP der Internet Gateay somit die 10.10.3.120 ---> nach der korrekten Eingabe der Nutzerdaten ( diese werden von der Internet Gateway mit dem LDAP Server synchronisiert) kann der Schüler dann durch das gefilterte Netz surfen
der LDAP Server läuft unter einem extern verwalteten Debian Server
den DHCP Server hab ich aufgestezt läuft unter einem Windows Server 2003
im Prinzip soll es so funktionieren
Privates Schülernotebook ---> Zugriff auf Accesspoint IP erhalten die Clients vom DHCP Server ---> bei Browseraufruf soll eine Benutzername und Kennwort abfrage kommen von der Internet Gateway wobei aber der Proxy eingetragen sein muss also ebenfalls die IP der Internet Gateay somit die 10.10.3.120 ---> nach der korrekten Eingabe der Nutzerdaten ( diese werden von der Internet Gateway mit dem LDAP Server synchronisiert) kann der Schüler dann durch das gefilterte Netz surfen
der LDAP Server läuft unter einem extern verwalteten Debian Server
Das wäre ja die ideale Lösung wenn der Proxy tranparent ist aber wie realisiere ich das?
Der Grund ist ganz einfach der weil mein Ausbilder nein sagt xD Zudem muss das Projekt mal langsam in die Gänge kommen und da ist die Einrichtung einer Firewall denk ich mal zu Zeit intensiv ....
Der Grund ist ganz einfach der weil mein Ausbilder nein sagt xD Zudem muss das Projekt mal langsam in die Gänge kommen und da ist die Einrichtung einer Firewall denk ich mal zu Zeit intensiv ....
Moin,
sorry wenn ich es da mal hart sage aber google - squid transparent - wird dir da sicherlich helfen... Solltest du DANN noch spezielle fragen haben dann gerne. Aber die Anleitung von jemand anders hier einmal abschreiben ist nicht sooo das wahre, oder?
Achso - und wenn dein Ausbilder dir noch nen paar Bonuspunkte geben soll dann bindest du auch gleich Squid-Guard mit ein - inkl. Porn-Filter. Nur falls die Schüler mal auf die Idee kommen das man sich da einige Inhalte runterladen kann die nicht ganz für Schüler geeignet sind...
sorry wenn ich es da mal hart sage aber google - squid transparent - wird dir da sicherlich helfen... Solltest du DANN noch spezielle fragen haben dann gerne. Aber die Anleitung von jemand anders hier einmal abschreiben ist nicht sooo das wahre, oder?
Achso - und wenn dein Ausbilder dir noch nen paar Bonuspunkte geben soll dann bindest du auch gleich Squid-Guard mit ein - inkl. Porn-Filter. Nur falls die Schüler mal auf die Idee kommen das man sich da einige Inhalte runterladen kann die nicht ganz für Schüler geeignet sind...
mhmh haste schon Recht ich sollte was alleine machen ich wollte hier ja auch nur ne Hilfestellung erhalten wie das zu machen ist =)
Also nen Porn filter brauchen wir nicht die firewall hat nen ganz guten Content filter der schon ganz sauber arbeitet
Ich danke dir trotzdem für deine Vorschläge hast mir schon ein wenig geholfen
Also nen Porn filter brauchen wir nicht die firewall hat nen ganz guten Content filter der schon ganz sauber arbeitet
Ich danke dir trotzdem für deine Vorschläge hast mir schon ein wenig geholfen
@maretz: squid als transparenter Proxy in Kombination mit Authentifizierung....? Habe ich da Weiterbildungsbedarf...?
Grüße
Grüße
Ok ich habe gerade gemerkt das die Internet Gateway über einen eigenen transparenten Proxy verfügt der auch bei allen Browsern funktioniert....
Aber trotzdem danke an alle die sich die Mühe gegeben haben mir zu heflen
Aber trotzdem danke an alle die sich die Mühe gegeben haben mir zu heflen
