Proxy für processing.org auf Linuxclient

Alex · 15. Februar 2023 um 12:26

Hallo zusammen,

ich bin relativ neu in der Arbeit mit der V7, die Installation hat netzint mit Sophos-Firewall gemacht.

Nun habe ich ein Problem, dass auf unserem Linuxclient das Programm von processing.org (das wir für IMP verwenden) nicht richtig funktioniert: Ich kann keine Libraries nachladen. Das liegt daran, dass das Programm aufgrund des Proxy nicht ins Internet kommt. In der preferences-Datei von processing gibt es einen Abschnitt zum Proxy, der sieht so aus:

proxy.http.host=
proxy.http.port=
proxy.https.host=
proxy.https.port=
proxy.socks.host=
proxy.socks.port=
proxy.system=true

Aber egal was ich da eingetragen habe funktioniert es nicht. Wie gehe ich denn jetzt hier vor?

LG Alex

baumhof · 15. Februar 2023 um 14:08

Hallo Alex,

das Problem, nehme ich an, ist ja nicht nur, dass das Programm den
Proxy benutzen muss, sondern auch, dass es das kerberosticket des
Angemeldeten NUtzers vorzeigen muss: und das kann es wohl nicht.
Such mal im Netz nach
„proxy processing.org kerberos“

… vielleicht gibt es ja da was …

LG

Holger

MachtDochNix · 16. Februar 2023 um 05:21

Hallo Alex,

ist dein Client in der Gruppe der NoProxy? Da ich die Sophos nicht kenne, weiß ich leider nicht wo du danach schauen musst.

Wenn die IP deines Clients in der Gruppe ist, dann sollte das Nachladen möglich sein.

Beste Grüße

Thorsten

Alex · 27. Februar 2023 um 17:35

Hallo Thorsten,

wenn der PC in der NoProxy-Gruppe ist, dann funktioniert das natürlich. Aber ich möchte die PCs nicht standardmäßig in der NoProxy-Gruppe haben. Wie es scheint gibt es wohl keine Lösung für das Problem, das liegt wohl tatsächlich am Kerberos-Ticket, welches nicht mitgeliefert werden kann.

Früher war doch manches einfacher …

LG Alex

Buster · 27. Februar 2023 um 17:38

Hi,

kann denn ein Client sich nur mit Kerberos-Authentifizierung am Proxy anmelden oder gibt es eine Rückfallvariante mit Anmeldung mittels NTLM/HTTP-Basic oder könnte man die Client-IP im Squid whitelisten? Ich habe den Proxy von lmn hier nicht im Einsatz, kann dazu nix weiter sagen, außer dass es theoretisch möglich sein könnte, wenn entsprechend konfiguriert.

MfG Buster

Raphael · 6. Mai 2023 um 07:34

Hi,
bei der Sophos weiß ich das nicht. Bei der OPNSense hilft „ACL Whitelist/Blacklist“ siehe unter: anwenderwiki:firewall_lmn7:squidproxy:start [CommunityWiki]
Damit kann man bestimmte Domains auch ohne Kerberos-Ticket vom Proxy durchwinken.

Eine andere Lösung, die auch bei der Sophos klappen müsste:
Du kannst auf dem Client einen lokalen Squid starten, der sich der Opensense gegenüber mit dem User-Kerberos-Ticket ausweist. Seinerseits verlangt der Proxy allerdings keine Verifizierung. Den Squid kannst du mit folgender Konfig auch als User-Prozess starten:

/etc/squid/squid-usermode.conf:

acl local-servers dstdomain .linuxmuster.net
cache_peer firewall.linuxmuster.net parent 3128 0 no-query default login=NEGOTIATE auth-no-keytab
never_direct deny local-servers
never_direct allow all
access_log none
cache_log /dev/null
logfile_rotate 0
pid_filename none
http_port 127.0.0.1:3128
http_access allow all

als User starten via: /usr/sbin/squid -f /etc/squid/squid-usermode.conf

Du erreichst dann deinen lokalen http-Proxy unter http://127.0.0.1:3128

Lieben Gruß

Raphael

maxEG · 7. Mai 2023 um 17:37

Hi Raphael,
wow, das ist genial! Das probiere ich diese Woche mal aus!
Danke und Grüße
Max