Nach Installation verschiedene Probleme

haggai · January 18, 2013, 9:55pm

Hallo,
ich nutze die CT Edition, bzw. ich versuche sie zu nutzen. Leider komme ich wirklich nicht weiter und frage mich, ob ich das Risiko eingehen soll meine Dateien in das DMS zu schicken.
Ich habe den Squid laufen gehabt und habe mit dem Browser darueber gesurft. Leider konnte ich alle Seiten aufrufen. Der Server soll filtern, damit ich meine Kinder in das Internet lassen kann.
Darum habe ich die verschiedenen pdf durchstoebert. Ich finde nur rudimentaere hinweise und habe die befolgt das packet uniwention-antivirus-web gibt es z.B. anscheinend nicht. Ausserdem habe ich wohl irgendwo reingepfuscht und jetzt verweigert der Squid die Verbindung.
Egal was ich mache. squid/allow/localnet ist auf “true”. Jetzt habe ich auch mal in squid/allowfrom das locale Netz eingegeben.
Wo finde ich eigentlich einen Hinweis, was und wie ich in dieser UCR alles einstellen kann. Welche Werte muss ich dazu kennen/einfuegen? Muss ich da die Squid Doku durchforsten.

Gruesse

haggai · January 21, 2013, 8:40pm

Also da es anscheinend keinen interessiert, habe ich selbst noch einmal gesucht. Fuer “dansguardian” gibt es wohl nur das nagios plugin.
Genug rumgebastelt, dann werde ich den Server meinen Kunden nicht empfehlen.
Ich habe jetzt denke ich genug Einstellungen versucht! Und pdfs durchgemacht.
Ich dachte halt, deutsche Firma geht vor auslaendischer Firma.

Meybohm · January 24, 2013, 8:43am

Hallo,

Hinweise zur Einrichtung von Webfiltern finden Sie z.B. in der Dokumentation [ed]Squid-Webproxy Integration[/ed] sowie in den entsprechenden Beschreibungen der “dansguardian” UCR-Variablen (sehen Sie hierzu auch die Punkte 2 und 3 des Postings Fragen zu UCS (Evaluation)). Wenn Sie nach Anpassung von UCR-Variablen Probleme im Betrieb des Proxy-Dienstes feststellen, können Sie z.B. anhand der Logdatei /var/log/univention/config-registry.replog die vorgenommenen Änderungen nachvollziehen und rückgängig machen.
Für die Analyse Ihres Verbindungsproblems können Sie beispielsweise prüfen ob die Ports noch offen sind/Squid noch läuft, ob die Verbindungsversuche in den Logdateien protokolliert werden etc.

Mit freundlichen Grüßen
Janis Meybohm

haggai · January 25, 2013, 10:11pm

Ja, vielen Dank fuer die Antwort.
Hatte den Server schon wieder geplaettet.
Habe ihn nochmal neu aufgezogen.

Damit vorgenommene Änderungen aktiviert werden, muss Dansguardian mit /etc/init.d/dansguardian restart neu gestartet werden.

/etc/init.d/dansguardian restart -bash: /etc/init.d/dansguardian: Datei oder Verzeichnis nicht gefunden

dansguardian -g -bash: dansguardian: Kommando nicht gefunden.

Nun, ich kann da zwar viel einstellen, aber genau dem Squid.pdf zu folgen ist also nicht moeglich.

SirTux · January 27, 2013, 10:29am

Der Dansguardian muß erstmal installiert werden:

univention-install dansguardian

haggai · January 28, 2013, 4:55pm

Danke fuer den Hinweis!

univention-install dansguardian Paketlisten werden gelesen... Paketlisten werden gelesen... Abhängigkeitsbaum wird aufgebaut... Statusinformationen werden eingelesen... E: Paket dansguardian kann nicht gefunden werden

Zugriff auf das Internet habe ich aber.

[code] wget http://www.univention.de
–2013-01-28 18:05:33-- http://www.univention.de/
Auflösen des Hostnamen http://www.univention.de… 88.198.15.85
Verbindungsaufbau zu http://www.univention.de|88.198.15.85|:80… verbunden.
HTTP-Anforderung gesendet, warte auf Antwort… 200 OK
Länge: nicht spezifiziert [text/html]
In »index.html« speichern.

[ <=>                                                                                           ] 40.699      --.-K/s   in 0,05s

2013-01-28 18:05:33 (758 KB/s) - »index.html« gespeichert [40699]

[/code]

SirTux · January 28, 2013, 5:12pm

Vor der Installation mußt du anscheinend noch

ucr set repository/online/unmaintained="yes"

ausführen

haggai · January 28, 2013, 5:19pm

[quote=“SirTux”]Vor der Installation mußt du anscheinend noch

ucr set repository/online/unmaintained="yes"

ausführen[/quote]
Hi, danke!!
Wo bitte kann ich sowas nachlesen?
Jetzt ist er zumindest mal installiert. Jetzt muss ich ihn konfigurieren.

SirTux · January 28, 2013, 6:17pm

In der SBD z.B.

haggai · February 1, 2013, 8:47pm

Danke!
Also funktionieren tuts trotzdem nicht.
Das ist ein ewiges Gebastel mit dem Ding…
Irgendwie verstehe ich die Software nicht.
Jetzt habe ich ausnahmsweise mal die Freigabe zum Laufen gebracht, so dass man drauf zugreifen kann.
Und mein Ubuntu konnte ich ueber likewise anbinden. Allerdings alles Andere krieg ich nicht zum laufen.
Proxy geht nicht, Drucker geht nicht… Ich fasse es nicht.

Ich bin langsam echt frustiert. Da habe ich ein konkurenz Produkt wesentlich schneller eingerichtet.
Dummerweise kann ich die Fehler aber auch nicht eingrenzen. Mein Rechner bekommt nicht den Server als DNS Server beim DHCP, aber DNS geht trotzdem ^^

Meybohm · February 4, 2013, 4:36pm

Es ist ärgerlich, dass es nicht direkt für Sie funktioniert hat.

Für die Installation von Dansguardian sowie dem Integrationspaket “univention-dansguardian” sollte es nicht notwendig sein die “unmaintained” Komponente zu aktivieren. Wenn das System Zugriff auf das Online-Repository hat, können die Pakete samt Abhängigkeiten mit dem folgenden Befehl, oder über das “Paketpflege”-Modul der UMC installiert werden:

univention-install univention-dansguardian

Per Default ist es nach der Auswahl des Web-Proxy-Server (Squid) in UCS so, dass dieser als Caching-Proxy konfiguriert ist und den Zugriff von allen Benuztern und Netzwerken erlaubt. Der Installer installiert dabei das Paket “univention-squid”. Mit Dansguardian (Paket “univention-dansguardian”) kann der Proxy-Server um Funktionen für Content und Virenfilterung erweitert werden, die Konfiguration von Dansguardian erfolgt dabei über UCR.

Um z.B. alle univention.de Webseiten für alle Clients zu sperren kann der folgende Befehl verwendet werden:ucr set dansguardian/groups/www-access/banned/sites=univention.de;univention.com /etc/init.d/dansguardian restart

Die Gruppe www-access ist in der Dansguadian-Konfiguration bereits vordefiniert, sie existiert aber standardmäßig nicht als Gruppe im Managementsystem. Ich gebe zu, das ist verbesserungswürdig und wir werden die Dokumentation dahingehend verbessern.

Bis zu diesem Zeitpunkt erfordert der Proxy-Server keine Authentifikation. Solange der Proxy-Server keine Authentifizierung verlangt, wird die obige Regel verwendet. Man kann nun noch weitere Regeln für andere Dansguardian-Filter definieren, beispielsweise:ucr set dansguardian/groups/www-access/banned/mimetypes=' application/x-msdownload application/octet-stream audio/mpeg' /etc/init.d/dansguardian restart

Um eine feinere Unterscheidung anhand der Gruppenmitgliedschaften von Benutzern vornehmen zu können muss die Authentifikation in Squid aktiviert werden, ansonsten kann Squid die Benutzer nicht unterscheiden:ucr set squid/basicauth=yes

Anschließend können beliebige Gruppen der Domäne in den Dansguardian Filterregeln verwendet werden, z.B.:ucr set dansguardian/groups='www-access;Domain User' ucr set dansguardian/groups/www-access/banned/sites='univention.de' \ 'dansguardian/groups/Domain Users/banned/sites'='univention.de;software-univention.de'

Bzgl. Freigaben:
Über den Wizard “Freigaben” können Sie Samba und/oder NFS Freigaben auf dem Server einrichten, standardmäßig wird eine neu Freigabe für Samba und NFS angelegt.
Im Dialog müssen Sie Namen und Pfad für die Freigabe angeben und einen UCS-Server wählen auf dem die Freigabe erzeugt werden soll (in Umgebungen mit nur einem Server sollte dieser vorausgewählt sein). Die Optionen Verzeichnis-Benutzer/Gruppe sowie Verzeichnis-Modus legen die grundlegenden Zugriffsrechte fest. Sie können z.B. “Domain Users” als Verzeichnis-Gruppe wählen und unter Verzeichnis-Modus “Schreiben” in der Zeile “Gruppe” aktivieren um allen Benutzern in der Gruppe “Domain Users” (standardmäßig ist jeder Benutzer Mitglied dieser Gruppe) zugriff und Schreibberechtigungen auf die Freigabe zu gewähren.
Unsere Dokumentation hierzu finden Sie im Kapitel Freigaben-Verwaltung des UCS Handbuchs.

Über den Wizard “Drucker” können Sie Drucker an den UCS Printserver anbinden, hierzu muss auf dem System das Paket “univention-printserver” (über die “Paketverwaltung” oder “univention-install univention-printserver”) installiert sein.
Gängig ist hier z.B. die Anbindung von Netzwerkdruckern über IPP. Auch in diesem Wizard ist der Server auszuwählen der als Spool-Host verwendet werden soll. Außerdem sind das Protokoll (z.B. “ipp://”), das Ziel (z.B. die IP-Adresse des Druckers im Netzwerk) sowie Druckerhersteller und Modell auszuwählen.
Sollte der benötigte Druckertreiber nicht zur verfügung stehen, können Sie weitere Treiber im PPD Format wie im Kapitel Integration weiterer PPD-Dateien des UCS Handbuchs beschrieben einbinden. Unsere Dokumentation zur Einrichtung von Druckern finden Sie im Kapitel Konfiguration von Druckerfreigaben.

Um den DNS-Server per DHCP zu verteilen muss dieser über eine Richtlinie vom Typ “DHCP DNS” konfiguriert sein.
Über den Wizard “DHCP” können Sie mit einem Klick auf das “Stift-Icon” den DHCP-Service bearbeiten. Auf dem Reiter “[Richtlinien]” finden Sie in der Gruppe “Richtlinie: DHCP DNS” die Werte aus der geltenden DHCP DNS-Richtlinie und können diese durch die “bearbeiten” Links anpassen. Im daraufhin erscheinenden Wizard können Sie den Namen der Domäne sowie die für diese Domäne zuständige DNS-Server konfigurieren.

Ich hoffe das hilt Ihnen weiter. Sollten Sie weitere Probleme haben, so senden Sie uns bitte ein Support Info Archiv an sdb.univention.de/1174

Mit freundlichen Grüßen
Janis Meybohm

haggai · February 6, 2013, 11:59pm

So, ich habe keine Ahnung, was hier los war.
Jedenfalls habe ich den Server nochmal neu aufgesetzt.
Squid ging gleich, trotzdem hat er kein univention-dansguardian gefunden.
Nach dem Einstellen der Unmaintained gings dann.
Nach etwas gefummel konnte ich auch die verschiedenen Blocklists implementieren. Also keine boesen Seiten mehr.
DHCP hat nun auch funktioniert. Den DNS-Server hatte ich in den Richtlinien eingetragen, wurde aber nicht verteilt.
Jedenfalls bisher habe ich alles hinbekommen.
Die Links in den Dansguardian Configfiles stimmen anscheinend nicht :

/etc/dansguardian/lists/www-access-bannedsitelist .Include</etc/dansguardian/blacklists/virusinfected/domains> richtig waere Include</etc/dansguardian/lists/blacklists/virusinfected/domains>
War jedenfalls mal wieder nicht der Server, sondern ein “Layer 8” Fehler.
Jedenfalls kenne ich den Server nun ein bisschen

Meybohm · February 12, 2013, 9:35am

Hallo,

schön dass es jetzt funktioniert hat.
Die “.Include”-Zeilen in der Dansguardian-Konfiguration (aus dem Template “/etc/univention/templates/files/etc/dansguardian/lists/bannedsitelist”) sind als Beispiele zu betrachten. Die Filter-Dateien werden nicht mit UCS ausgeliefert und können daher in einem beliebigen Verzeichnis abgelegt und von dort eingebunden werden.
Der führende Punkt vor dem Schlüsselwort “Include” sollte allerdings nicht entfernt werden.

Mit freundlichen Grüßen
Janis Meybohm

haggai · February 12, 2013, 10:54am

Danke, das war ja auch keine Kritik.
Aber wenn da mal wieder einer nachschaut, kann er das gleich sehen.

Die Dokumentation sollte meiner Meinung nach erweitert werden. Also ich wuerde mir wuenschen, dass ich nur in dieses Forum schauen muesste, um einen fertigen Server zu haben. Aber das ist vermutlich Wunschdenken und nicht wirklich zu realisieren.

Viele Gruesse und einen gesegneten Tag.