silvesterlangen.de

Seite
Menü

Auth Exceptions

Im Alltagswahnsinn des Administrators kommt es immer wieder zu den irrsinnigsten Dingen. So richtet der Admin einen Proxy Server ein, um die Sicherheit und Kontrolle zu erhöhen und dann zeigt sich, dass verschiedene Software einfach nicht mit dem Authentifizierungsmechanismus klarkommen. Beispielsweise versteht Elster Formular die NTLMv2-Auth nicht. Basic- oder Digest-Auth ist keine Alternative für uns. Was bleibt ist eine Ausnahmeliste für den Proxy, was in den Fällen die Authentifizierung umgeht.

 

Destination Domain

Mit der Destination Domain nehme ich jede Domain aus für die keine Authentifizierung stattfinden soll. In folgendem Beispiel würde der Squid Proxy keine Authentifizierung abfragen, wenn silvesterlangen.de aufgerufen wird.

acl ausnahmedomain dstdomain silvesterlangen.de
http_access allow ausnahmedomain

Möchte ich, dass alle Subdomains ebenfalls ausgenommen sind, so stelle ich noch einen Punkt voran. Folgendes Bespiel würde also Debian.org und alle Subdomains von der Authentifizierung ausnehmen:

acl ausnahmedomain dstdomain .debian.org
http_access allow ausnahmedomain

Es lassen sich auch mehrere Domains hintereinander schreiben. Einfach mit einem Leerschritt (kein Komma) getrennt. Ein Beispiel dazu spare ich mir jetzt mal. Das kann man sich denken.

Natürlich lässt sich auch eine Datei einlesen, die als Liste herangezogen wird, die sich Squid einliest.

acl ausnahmedomain dstdomain /etc/squid/auth_exceptions_domains
http_access allow ausnahmedomain

 

Source IP-Adresse

Vielleicht möchte man aber keine einzelnen Domains freigeben, sondern einzelne Clients von der Authentifizierung ausnehmen. Das geht dann mit Source Exceptions. Hier wird keine Domain, sondern die Client-IP herangezogen.

acl ausnahmesource src 192.168.39.102
http_access allow ausnahmesource

Natürlich lassen sich hier auch wieder die Ausnahmen hintereinander wegschreiben. So wie bei den Domains funktioniert das auch mit IPs. Auch hier lässt sich wieder eine Liste anlegen, die Squid einliest und verwendet. Das hält die squid.conf sauber.

acl ausnahmesource src /etc/squid/auth_exceptions_ip
http_access allow ausnahmesource

 

UND-Verknüpfung

Das Dumme an den beiden Ausnahmelisten ist, dass sie in irgendeiner Hinsicht immer Tür und Tor öffnet. Das widerspricht dem Minimalprinzip. Die Destination Exception sorgt dafür, dass jeder Client ohne Authentifizierung diese Domains erreichen kann. Das ist nicht unbedingt immer gewollt.

Die Source Exception wiederum sorgt dafür, dass für die aufgezählten Clients gar keine Authentifizierung stattfindet. Das ist auch nicht gerade der wahre Jakob. Squid versteht aber die UND-Verknüpfung. Man kann ihm sagen, dass eine bestimmte Destination Exception nur von bestimmten Source Exceptions verwendet werden können.

In folgendem Beispiel kann nur der PC 192.168.39.102 ohne Auth auf die Domain silvesterlangen.de zugreifen.

acl ausnahmedomain dstdomain .silvesterlangen.de
acl ausnahmesource src 192.168.39.102
http_access allow ausnahmedomain ausnamesource
Natürlich lässt sich das wieder mit Listen zum einlesen lösen. Das selbe Spiel wie bereits oben beschrieben.

 

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login