Hallo zusammen,
eine Schule meldet, dass eine Lösung für das Problem gebraucht wird, dass immer mehr Software z.B. für die Lizenzprüfung einen proxyfreien Internet-Zugang verlangt, bzw.
nicht mit dem Proxy mit Anmeldung klarkommt.
Wie geht ihr damit um?
VG
Thomas
Hi,
den häufigsten Fall, den wir hatten war, dass die Software nur mit Web Proxy Auto Discovery (WPAD) nicht klar kam und die explizite Angabe von IP und Port benötigte, obwohl die Systembibliotheken Funktionen dafür bieten. Dann haben wir ggf. schon korrekt eingestellte Konfigurationsdateien der Software per Anmeldeskript/Gruppenrichtlinie oder zum manuellen Import bereitgestellt. Für den Fall, dass nur keine Authentifizierung unterstützt wurde, haben wir in der Proxy-Konfiguration die Zieldomain oder die IP der Quellrechner (bei Anwendungen auf Servern) in einer Whitelist aufgeführt, die dafür konfiguriert war, von der Authentifizierung ausgeschlossen zu sein.
Dass da eine Software so gar nicht mit Proxy umgehen konnte, gab es nur sehr wenige Male in den letzten 20 Jahren und ich glaube da wurde 1-2 Mal tatsächlich auf deren Einsatz verzichtet und stets eine funktionell nicht kaputte Alternative gesucht, gefunden und benutzt.
Mein erster Versuch wäre Supportquellen (Dokumentation, Knowledgebase, FAQ, Foren) zu konsultieren, danach dem Support-Team zu schreiben. HTTP-Proxy ist Technologie aus Mitter der 90er. Da könnte man es als Hersteller 30 Jahre nach der Standardisierung schaffen dies zu supporten.
VG
Buster
Hallo,
ich weiß nicht, welchen Proxy Thomas meint. Aber seit LMN7 wird ein Kerberos-Proxy verwendet, der spezielle Anforderungen an die Clientsoftware stellt. Das ist kein „einfacher“ HTTP-Proxy.
Dahingehend sollte das Problem der Schule erst mal eingeschränkt werden.
Wir testen gerade erfolgreich Escobar mit unserem Linuxclient. Damit brauchen die einzelnen Programme auf dem Client keine Kerberos-Fähigkeiten, es funktioniert dann z.B. wieder wget.
Übrigens wird die gleiche Technik auch in ipads und iphones verwendet. Damit können dann alle Apps plötzlich Kerberos 
.
Viele Grüße
Helge
Hi,
Um mal technisch zu bleiben: Squid es ist ein HTTP-Proxy, der Kerberos als Authentifizierungsverfahren unterstützt. Das macht ihn nicht zu einem Kerberos-Proxy. Man kann da Ausnahmen definieren, wo
und dann ist es ein „einfacher HTTP-Proxy“.
VG
Buster
Um es klar zu stellen: ich bin kein Kerberos-Fan, habe aber damit leben gelernt.
Für mich war es von Anfang an ein Dilemma: Ausnahmen und einfaches Leben oder die Internetsperr-Funktionalität der LMN7, die Personenbezogen greift, verwenden. Nun wir haben nicht groß mit Ausnahmen angefangen und haben den dokumentierten Klassenarbeitsmodus.
Aber vielleicht führt das hier zu weit. Ich bleibe aber dabei, Thomas muss prüfen, wo das Problem der Schule liegt: bei einem HTTP-Proxy oder Kerberos-Proxy (welche Software auch immer das umsetzt.) und darauf aufbauend nach Lösungen suchen und diese abwägen.
Viele Grüße
Helge
Hallo Thomas,
wir verwenden einen lokalen Squid als systemd- User-Service gestartet, der http Anfragen von localhost entgegen nimmt und sie zusammen mit dem Kerberos-Ticket des Users an den Parent-Proxy (OPNSense) weiter leitet. Damit können dann auch Programme, welche nicht mit kerberos-Authentifizierung umgehen können, den OPNSense-Squid nutzen.
Siehe: lmn-client/doc/localproxy.md at fvs - DigitalSouveraeneSchule/lmn-client - Codeberg.org
bzw.: lmn-client/roles/lmn_localproxy at fvs - DigitalSouveraeneSchule/lmn-client - Codeberg.org
Diesen Proxy verwenden wir auch besonders für unsere VMs, da diese ja kein Kerberos-Ticket erhalten.
Lieben Gruß
Raphael
Hallo zusammen,
vielen Dank für eine Ideen/Anregungen/Vorschläge. Ich werde sie an die Netzberater der Schule weitergeben.
Viele Grüße
Thomas
Hallo Thomas,
Sollte die Schule offen für ein freies Internet sein, wäre es ebenfalls denkbar, alle Clients in die noProxy-Gruppe zu verschieben.
Natürlich müsste dies intensiv mit der Schule besprochen werden, um die Vor- und Nachteile aufzuzeigen.
Nur als Gedankenanstoß! 
Hallo Shinigami,
sagen wir es so: Die Offenheit der Schule zu freiem Internet endet beim Prüfungsmodus.
VG
Thomas