Webproxy + SSO eingerichtet ... aber noch Fragen

Hallo zusammen,

nachdem wir im Sommer auf die LMN7 umgestiegen sind und vorerst für alle Schüler:innen und Lehrer:innen das Internet über eigene Regeln in der OPNsense freigeschaltet haben, habe ich mich heute morgen an die Konfiguration des Webproxy mit SSO und die dazugehörige Konfiguration auf den Win10-Clients gesetzt. Soweit ich das beurteilen kann funktioniert das auch soweit … Aaaaber. So ganz zufrieden bin ich nicht. Daher frage ich hier Mal in die Runde:

  • Wenn ein Schüler das Internet gesperrt hat, erhält der Schüler bei Firefox-Start und bei Aufruf von Webseiten einen Authdialog:
    proxy_auth
    Ist das normal? Gibt es eine Möglichkeit auf eine elegante Seite umzuleiten?
  • Das betrifft übrigens auch andere Anwendungen. Wenn ich einen Tipp abgebe … dann vor allem Anwendungen die bei Start nach Hause telefonieren und Updates suchen.
  • Wir würden gerne Ausnahmen hinterlegen, so dass z. B. Moodle, SAP-Netweaver, etc. auch bei gesperrtem Internet ermöglicht. Gibt es da einen Ansatzpunkt?

Ich freue mich über Eure Rückmeldungen.

Viele Grüße

Tobi

Ich habe im Wiki noch diesen Artikel entdeckt:
https://wiki.linuxmuster.net/community/anwenderwiki:squidproxy:start#acl_whitelist_blacklist_generell
Damit habe ich einen Ansatz. Allerdings bin ich mir nicht sicher ob das noch aktuell ist? Insbesondere der Abschnitt …

Damit die ACL vor der Authentifizierung ausgeführt wird legt man an der OPNsense die Datei an:

/usr/local/etc/squid/pre-auth30-linuxmuster.pre-auth.acl.conf

… ist für mich nicht klar, da die obigen Whiteliste-Einträge in die squid.conf übernommen werden. Also … ich bin noch für Tipps dankbar.

Hab’s doch verstanden … sorry für die Spamerei hier. Der Wiki-Eintrag hat geholfen:

Hallo Tobi,

freut mich, wenn mein Geschreibe im Wiki verständlich ist :slight_smile:

Ja, das heißt, daß das Sperren des Internet funktioniert. Der Benutzer ist dann nicht mehr in der Gruppe „internet“.

Da kenne ich keine einfache Möglichkeit.

Verstehe ich nicht ganz. Ist es gewünscht, daß andere Anwendungen nach Hause telefonieren können, dann muß der Content Filter im Squid so konfiguriert werden, daß das erlaubt ist.

Das würde ich auf IP-Adress Ebene in einer Regel auf der OPNsense machen.

Melde Dich, wenn etwas im Wiki Beitrag nicht stimmt, oder Du nicht weiterkommst.

Viele Grüße
Klaus

Hallo Klaus,

danke für Die Rückmeldung. Damit weiß ich jetzt dass ich mit meinem Lösungsansatz nicht falsch liege. Es hat sich fast alles mit Deinem Ansatz geklärt. Ich muss halt die Kontrollliste bzw. direkt die squid.conf noch mit den URLs einpflegen die ich brauche. Aber ich bin schon ganz glücklich.

Ich hätte zwei Dinge die man im Wiki noch einpflegen kann.

  • im angegebenen Pfad
    /usr/local/etc/squid/pre-auth30-linuxmuster.pre-auth.acl.conf
    fehlt ein Slash-Zeichen nach pre-auth. Es müsste
    /usr/local/etc/squid/pre-auth/30-linuxmuster.pre-auth.acl.conf
    lauten

  • Und nur eine Überlegung: Du schreibst:

    Hier kann man obige Domains in den Abschnitt „Schwarze Liste“ schreiben, um Windows Updates auch für die in dieser Dokumentation generell freigeschalteten Lehrer zu sperren.

    Die Blacklist brauche ich doch an dieser Stelle überhaupt nicht, oder? Daher habe ich in der Konfig nochmal folgende Zeile eingefügt:

    acl blackList dstdomain invalid

Das ist vielleicht etwas konkreter. Aber es ist nur eine Idee. Danke aber auf jeden Fall für den hervorragenden Wiki-Beitrag. Ohne das Ding hätte ich heute Morgen erstmal im Trüben gefischt.

Greetings

Tobi

Hallo Tobi,

Danke! Habe ich jetzt korrigiert.

Das Problem bei dieser Vorgehensweise ist, daß Deine Ergänzung bei einem Update von Squid überschrieben werden wird. Bei meiner Vorgehensweise bleibt die Konfig erhalten.

Danke und viele Grüße
Klaus