Umstellung Dansguardian auf Port 8080

UCS - Univention Corporate Server
#1

Hallo,

seit der Umstellung von Dansguardian auf den Port 8080 gibt es einen kleinen Fehler:

Im File /etc/univention/templates/files/etc/squid3 steht folgendes

if configRegistry.is_true(‘squid/virusscan’) or configRegistry.is_true(‘squid/contentscan’):
# dansguardian runs on the default port in this case
try:
squidport = int(configRegistry.get(‘squid/httpport’, 3128)) + 1
print “http_port %d” % squidport
except:
print “http_port 3128”
else:

Das verstehe ich so, dass wenn Dansguardian installiert ist, dann wird der Squid-Port auf 3129 gelegt. Wenn Dansguardian vor dem Squid angesprochen wird, dann geht natürlich NTLM- und Kerberos-Authentifizierung nicht mehr. Deshalb wurde ja der Dansguardian auf 8080 verlegt.

Das macht aber nach der Umstellung keinen Sinn mehr, weil ja jetzt der Sansguardian nach dem Squid hängen sollte, damit die Authentifizierung sauber läuft.

So müsste es wie folgt heissen:

    except:
            print "http_port 3129"

else:

Auch ist ja die Firewall auf dem Port 3129 gar nicht offen.

Oder habe ich das falsch verstanden?

#2

Moin,

wenn ich die Dokumentation von DansGuardian so richtig lese, so scheint es die empfohlene Variante zu sein, dass der Client-Anfragen zuerst an DansGuardian gehen und dieser dann bei Squid nachfragt, also genau so, wie es UCS standardmäßig konfiguriert.

Und wenn ich den Rest richtig verstehe, den ich über DansGuardian & Squid & Authentifizierung lese, so muss DansGuardian auch vor Squid sitzen, wenn Dinge wie Gruppenmitgliedschaften in DansGuardian genutzt werden sollen.

Ich hab mir gerade noch die Univention-Templates für Squid und DansGuardian angesehen. Rein mit den UCR-Variablen gibt’s wohl keine saubere Möglichkeit, die Reihenfolge umzudrehen. Sie haben also die Möglichkeiten, die Templates manuell anzupassen und das bei sämtlichen kommenden Updates zu berücksichtigen (das Tool »univention-check-templates« ist hier Gold wert, sollte eh nach jedem Update einmal ausgeführt werden), oder aber pur Squid und DansGuardian einzusetzen, nicht aber die jeweiligen UCS-Integrationspakete »univention-squid« und »univention-dansguardian« und dann die Konfiguration manuell zu erstellen (Sie können ja die jetzige Konfiguration als vorher wegkopieren und anschließend als Ausgangsbasis nutzen).

Gruß,
mosu

Mastodon