ich bin relativ neu in der Arbeit mit der V7, die Installation hat netzint mit Sophos-Firewall gemacht.
Nun habe ich ein Problem, dass auf unserem Linuxclient das Programm von processing.org (das wir für IMP verwenden) nicht richtig funktioniert: Ich kann keine Libraries nachladen. Das liegt daran, dass das Programm aufgrund des Proxy nicht ins Internet kommt. In der preferences-Datei von processing gibt es einen Abschnitt zum Proxy, der sieht so aus:
das Problem, nehme ich an, ist ja nicht nur, dass das Programm den
Proxy benutzen muss, sondern auch, dass es das kerberosticket des
Angemeldeten NUtzers vorzeigen muss: und das kann es wohl nicht.
Such mal im Netz nach
„proxy processing.org kerberos“
wenn der PC in der NoProxy-Gruppe ist, dann funktioniert das natürlich. Aber ich möchte die PCs nicht standardmäßig in der NoProxy-Gruppe haben. Wie es scheint gibt es wohl keine Lösung für das Problem, das liegt wohl tatsächlich am Kerberos-Ticket, welches nicht mitgeliefert werden kann.
kann denn ein Client sich nur mit Kerberos-Authentifizierung am Proxy anmelden oder gibt es eine Rückfallvariante mit Anmeldung mittels NTLM/HTTP-Basic oder könnte man die Client-IP im Squid whitelisten? Ich habe den Proxy von lmn hier nicht im Einsatz, kann dazu nix weiter sagen, außer dass es theoretisch möglich sein könnte, wenn entsprechend konfiguriert.
Hi,
bei der Sophos weiß ich das nicht. Bei der OPNSense hilft „ACL Whitelist/Blacklist“ siehe unter: anwenderwiki:firewall_lmn7:squidproxy:start [CommunityWiki]
Damit kann man bestimmte Domains auch ohne Kerberos-Ticket vom Proxy durchwinken.
Eine andere Lösung, die auch bei der Sophos klappen müsste:
Du kannst auf dem Client einen lokalen Squid starten, der sich der Opensense gegenüber mit dem User-Kerberos-Ticket ausweist. Seinerseits verlangt der Proxy allerdings keine Verifizierung. Den Squid kannst du mit folgender Konfig auch als User-Prozess starten: