Squid konfigurieren

etg · February 2, 2015, 1:04pm

Ich habe zur Zeit einen squid als Webproxy auf einem separaten Server laufen und würde diesen gern durch den Squid im App Center ersetzen.
Meine ACLs aus der jetzigen squid.conf möchte ich übernehmen bzw. in der UCR nachbilden nur weiß ich nicht genau wie.
Bislang selektieren die ACLs nach der source IP, gern würde ich aber auch direkt Benutzer oder Benutzergruppen eingeben können.

Die squid.conf sieht in Auszügen momentan so aus:

...
acl blacklist dstdomain "/etc/squid/blacklist.squid"
acl graylist dstdomain "/etc/squid/graylist.squid"
acl whitelist dstdomain "/etc/squid/whitelist.squid"
acl manager src 192.168.75.15-192.168.75.20
acl workshop src 192.168.75.70-192.168.75.90
acl pause_time time MTWHFAS 09:00-09:20
acl pause_time time MTWHFAS 12:00-12:40
acl pause_time time MTWHFAS 19:30-20:00
acl late_shift time MTWHFAS 18:00-19:30
acl late_shift time MTWHFAS 20:00-23:59

http_access allow manager
http_access deny blacklist
http_access allow whitelist
http_access deny !pause_time graylist
http_access deny late_shift workshop
http_access allow all
...

lässt sich das im Squid des App Centers nachbilden?

Petersen · February 2, 2015, 3:55pm

Hallo!

generell wird die /etc/squid3/squid.conf auf einem UCS-System, wie Sie bereits erkannt haben, aus UCR-Variablen bzw. einem UCR-Template erstellt. Sie finden das Template hier: /etc/univention/templates/files/etc/squid3/squid.conf
Dem Template können Sie auch die aktiv verwendeten UCR-Variablen zur Konfiguration entnehmen (siehe auch ucr search squid).
Wenn bestimmte gewünschte Einstellungen nicht via UCR abgebildet sind, können Sie für eigene Einstellungen adaptiv die /etc/squid3/local.conf verwenden.

Tendenziell sollten Sie Ihre Konfiguration so (ohne, dass ich diese konkret geprüft habe) adaptieren können.
Hilft Ihnen das bereits?

Mit freundlichen Grüßen,
Tim Petersen

etg · February 3, 2015, 9:58am

Vielen Dank. Das hilft mir schon etwas weiter.
Wie komme ich für das Erstellen der ACLS an die Domänen-Benutzernamen und -Benutzergruppen ? Bislang habe ich mir verschiedene Gruppen aus IP-Bereichen zusammengesetzt. Gern würde ich hier direkt Domänen-Benutzernamen angeben können da ich somit nicht auf statische IPs angewiesen bin.

Petersen · February 3, 2015, 10:23am

Schön!
LDAP-Gruppen, die zur Authentifizierung an Squid berechtigt sein sollen, können Sie über die UCR-Variable squid/auth/allowed_groups definieren:

ucr search squid/auth/allowed_groups
squid/auth/allowed_groups:
 This variable can be used to limit the proxy access to one or several groups. If several groups are specified, they must be separated by semicolons. If this variable is empty or unset, all users can access the proxy.

Beachten Sie hierbei aber, dass die ACL’s nur dann auch in die /etcsquid3/squid.conf geschrieben werden, wenn eine Authentifizierung definiert wurde:

[code]ucr search squid/basicauth
squid/basicauth/children:
The maximum amount of authentication processes for LDAP authentication. If the variable is unset, up to five processes are possible.

squid/basicauth:
If this option is enabled, an LDAP authentication is required for accessing the proxy.

ucr search squid/krb5auth
squid/krb5auth/children:
The maximum number of authentication processes for Kerberos authentication. If the variable is unset, up to ten processes are possible.

squid/krb5auth/keepalive:
As standard, an NTLM authentication is performed for every HTTP query if Kerberos authentication is used. If for example the website http://www.univention.de/ is opened, the subpages and images are loaded in addition to the actual HTML page. The Kerberos authentication can be cached per domain: If this option is enabled, no further authentication is performed for subsequent HMTL queries in the same domain. If the variable is unset, no authentication credentials are cached.

squid/krb5auth/tool:
The program used by Squid for Kerberos authentication. If the variable is unset, ‘/usr/lib/squid3/squid_ldap_ntlm_auth --gss-spnego --gss-spnego-strip-realm’ is used. This setting should usually not be modified.

squid/krb5auth:
If this option is enabled, an Kerberos authentication is required for accessing the proxy.

ucr search squid/ntlmauth
squid/ntlmauth/children:
The maximum number of authentication processes for NTLM authentication. If the variable is unset, up to ten processes are possible.

squid/ntlmauth/keepalive:
As standard, an NTLM authentication is performed for every HTTP query if NTLM authentication is used. If for example the website http://www.univention.de/ is opened, the subpages and images are loaded in addition to the actual HTML page. The NTML authentication can be cached per domain: If this option is enabled, no further NTLM authentication is performed for subsequent HMTL queries in the same domain. If the variable is unset, no authentication credentials are cached.

squid/ntlmauth/tool:
The program used by Squid for NTLM authentication. If the variable is unset, ‘/usr/lib/squid3/squid_ldap_ntlm_auth’ is used. This setting should usually not be modified.

squid/ntlmauth:
If this option is enabled, an NTLM authentication is required for accessing the proxy.
[/code]