Beiträge von fanti

  • DHCP nur auf einer Schnittstelle

    Hallo Forum,
    ich will den DHCP-Dienst im grünen Netz nur auf einer Schnittstelle (eth3) anbieten.

    Bei der Endian 2.2 weiss ich wies geht, da hatte ich aber nur eine GRÜNE Zone.
    Durch editieren der Datei /etc/sysconfig/dhcpd.tmpl wurde der Dienst auf die Schnittstelle begrenzt.
    Inhalt der Datei:

    Code
    DHCPARGS="eth3"

    Bei meiner 2.4.1 hab ich aber jetzt eine BLAUE und GRÜNE Zone und die oben beschriebene Möglichkeit funktioniert nicht mehr. Da ich es so nicht hinbekommen habe und den Fehler nicht fand, habe ich die Datei /etc/dhcpd.conf.tmpl mit der die config-Datei des DHCP erstellt wird editiert und in der dort vorhandenen FOR-Schleife die Zeile

    Code
    interface $zone.DEV;


    mit einer if-Bedingung ersetz

    Code
    #if $zone.KEY == 'GREEN'
                interface eth3;
              #else 
                interface $zone.DEV;
              #end if

    Die Funktion ist jetzt gegeben und alle weiteren Eintellungen kann ich weiterhin über die GUI machen. Mich interessiert jetzt ob jemand außer mir sowas schonmal gemacht hat und wie er das Problem gelöst hat. Da gibt es doch bestimmt noch ne bessere Möglichkeit.

  • Script um LOG´s von Proxy zu archivieren

    Ich übernehme keine Garantie!!!!

    Das Script habe ich und ein Klassenkamerad von mir geschrieben (eigentlich mehr er als ich) :D damit die Verbindungen der Schüler an unserer Schule ins Internet Dokumentiert werden können, falls der Staatsanwalt mal anklopft.

    Die Endian-Firewall ermöglicht es einen Log des Proxy-Dienstes anzulegen. In diesem sind alle Verbindungen, inkl. der Anmeldenamen der User, abgespeichert die über den Proxy zustande kamen. Abgespeichert werden diese Daten in /var/log/squid/access.log .
    Diese Datei erreicht vor allem in Netzen mit vielen Usern (z. B. Schulen) schnell eine unübersichtliche Größe. Desweiteren enthält sie uninteressante Angaben wie z. B. den UNIX-Zeitstempel. Um die access.log kleiner und übersichtlicher zu halten soll diese täglich gesichert, ausgewertet und anschließend entleert werden. Hierzu wird das Script „tageslog.sh“ verwendet. Dieses wird im Verzeichnis /var/log/squid/ abgelegt und mit Hilfe der Datei „crontab“ in /etc täglich ausgeführt.

    Was macht tageslog.sh?
    1. Es kopiert die access.log in das Verzeichnis /var/log/squid/archivlog, welches zuvor von Hand angelegt werden muss, und speichert sie unter dem Dateinamen „access.log.TAG-MONAT-JAHR“ ab.
    2. Anschließend wird der Inhalt der access.log teilweise eingelesen und in der Datei „squid.archiv.TAG-MONAT-JAHR.log“ abgelegt. Desweitern enthält diese neue Datei (liegt ebenfalls im Verzeichnis /var/log/squid/archivlog) eine Kopfzeile, aus der hervorgeht was die einzelnen Einträge bedeuten und in welcher Reihenfolge sich diese befinden.
    3. Die access.log wird entleert.

    So erhält man nun für jeden Tag im Jahr zwei Dateien (die Originale, und die selbst erstellte) die nur die Daten eines Tages enthalten und somit eine bessere Übersicht bieten.

    Mit dem Script „monatslog.sh“, welches ebenfalls im Verzeichnis /var/log/squid/ abgespeichert wird, wird zu Beginn eines Monats ein tar.gz Archiv mit dem Namen „squid.archiv.MONATSKUERZEL-JAHR.tar.gz“ erstellt. Dieses Archiv enthält alle Dateien des Vormonats, die von tageslog.sh erstellt wurden.
    So erhält man pro Jahr 12 Archive. Der monatliche Start von monatslog.sh wird ebenfalls mit der Datei crontab in /etc gesteuert.

    Hier mal ein kleise Beispiel, ein Eintrag der access.log vor ausführen des Scripts:

    Code
    Jan 13 16:25:04 proxy squid[5939]: 1294932304.953    203 192.168.113.249 TCP_MISS/200 688 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEYidUCIIrVAioFiqoAAAEyBYmqAAAB fanti FIRST_UP_PARENT/content3 application/vnd.google.safebrowsing-chunk
Jan 13 16:25:05 proxy squid[5939]: 1294932305.491    131 127.0.0.1 TCP_MISS/200 630 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAY_vEBIP7xATIF_ngAAAE - DIRECT/74.125.39.100 application/vnd.google.safebrowsing-chunk
Jan 13 16:25:05 proxy squid[5939]: 1294932305.493    348 192.168.113.249 TCP_MISS/200 748 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAY_vEBIP7xATIF_ngAAAE fanti FIRST_UP_PARENT/content3 application/vnd.google.safebrowsing-chunk
Jan 13 16:25:05 proxy squid[5939]: 1294932305.772    126 127.0.0.1 TCP_MISS/200 1357 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGN3wByDe8AcqBV74AQABMgVd-AEAAQ - DIRECT/74.125.39.139 application/vnd.google.safebrowsing-chunk
Jan 13 16:25:05 proxy squid[5939]: 1294932305.773    280 192.168.113.249 TCP_MISS/200 1475 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGN3wByDe8AcqBV74AQABMgVd-AEAAQ fanti FIRST_UP_PARENT/content3 application/vnd.google.safebrowsing-chunk


    Daraus wird dann diese Datei erstellt:

    Code
    Datum:
Einlogzeitpunkt ; Dienst ; IP-Adresse des PC ; Aktion ; Status (200 = OK) ; Groesse (in bytes) ; Methode ; Internetseite ; Benutzer ; Wie wurde die Seite geladen? ; Hostname oder HostIP ; Kopfzeile der Homepage


20 Jan 2011:
16:25:04 ; proxy squid[5939] ; 192.168.113.249 ; TCP_MISS ; 200 ;688 ; GET ; http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEYidUCIIrVAioFiqoAAAEyBYmqAAAB ;fanti ; FIRST_UP_PARENT ; content3 ; application/vnd.google.safebrowsing-chunk
16:25:05 ; proxy squid[5939] ; 127.0.0.1 ; TCP_MISS ; 200 ;630 ; GET ; http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAY_vEBIP7xATIF_ngAAAE ;- ; DIRECT ; 74.125.39.100 ; application/vnd.google.safebrowsing-chunk
16:25:05 ; proxy squid[5939] ; 192.168.113.249 ; TCP_MISS ; 200 ;748 ; GET ; http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAY_vEBIP7xATIF_ngAAAE ;fanti ; FIRST_UP_PARENT ; content3 ; application/vnd.google.safebrowsing-chunk
16:25:05 ; proxy squid[5939] ; 127.0.0.1 ; TCP_MISS ; 200 ;1357 ; GET ; http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGN3wByDe8AcqBV74AQABMgVd-AEAAQ ;- ; DIRECT ; 74.125.39.139 ; application/vnd.google.safebrowsing-chunk
16:25:05 ; proxy squid[5939] ; 192.168.113.249 ; TCP_MISS ; 200 ;1475 ; GET ; http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGN3wByDe8AcqBV74AQABMgVd-AEAAQ ;fanti ; FIRST_UP_PARENT ; content3 ; application/vnd.google.safebrowsing-chunk


    Leider ist das erstellen der neuen Datei in der nur ein Teil der Daten der originalen enthalten ist recht zeitaufwendig :( da die Einträge Zeile für Zeile abgearbeitet werden.

  • **gelöst** LDAP Authentifizierung nicht möglich

    So, wie angekündigt, hier mal ein kleiner Auszug aus der access.log von Squid. Meinen echten Namen hab ich mal mit fanti ersetzt.


    Schade die Zeilen im Code-Fenster sind zu lang, der Zeilenumbruch machts schlechter lesbar.

    Unser Script macht daraus eine verkürzte Variante und fügt oben eine Kopfzeile und das Datum ein. Hier das Ergebnis


    Die original Log-Datei wird gesichert und umbenannt (Dateinamen enthält dann auch Datum).
    Die neu erstellte wird ebenfalls mit Datum im Dateinamen abgelegt.
    Dann wird die original Log-Datei gelöscht, was ja dazu führt das die Endian ne neue anlegen muss.
    Das ganze wird durch einen Eintrag in der Datei crontab in /etc täglich um 23:00 Uhr ausgeführt.
    Ach ja bevor ich es vergesse, das Script brauchte heute für 5087 Zeilen auszuwerten immerhin 1:40 min. Da kann bei 2200 Schülern ganz schön was zusammen kommen.


    Am Ende des Monats haben wir dann zwei Dateien pro Tag (also max 62 insgesamt). Diese werden am 1. Tag des Folgemonats gelöscht, nachdem sie in einem tar.gz-Archiv abgelegt wurden. Macht dann 12 Archive pro Jahr und das dürfte eine überschaubare Menge sein. Der zeitliche start wird ebenfalls wieder mit crontab gemacht.

    Jetzt könnte man noch ein Script schreiben das die Archive mit einem bestimmten Alter automatisch löscht.

  • **gelöst** LDAP Authentifizierung nicht möglich

    Zitat von "Sabine"

    Ich glaube nicht das das so einfach möglich ist das jeder sein Passwort ändern kann, die Schüler müssen ja
    am Server angemeldet sein um ihr Passwort ändern zu können.


    Das dachte ich mir auch schon, da stelle ich die Verfolgung dieses Gedanken lieber ein.

    Zurück zum ursprünglichen Thema, wie gesagt morgen gibts was bezüglich Log und Script.

  • **gelöst** LDAP Authentifizierung nicht möglich

    Diese Möglichkeit besteht bei uns auch. Die Schüler können auch an den Rechnern auf denen die CampusLan Software installiert ist selbst (ohne Lehrer) ihr eigenes Passwort ändern.

    Ich dachte da mehr an die Bereiche wo bei uns kein CampusLan zur Verfügung steht bzw. eingesetzt wird. Z. B. die vielen Fachschüler hier mit ihren Laptops, die zum Teil keine Computerräume der Schule nutzen aber via WLAN direkt an den Proxy angebunden sind. Wäre nunmal recht schön wenn auch diese von ihren Laptops aus ihr Passwort selbst ändern könnten.
    Gibt es da nicht nen kleinen Webserver oder etwas ähnliches der ein eDirectory verwalten kann und so diese Funktion ermöglicht?

    Diese Funktion wird nicht unbedingt gebraucht, wäre aber recht schöne Lösung und verringert den Aufwand bei Lehrern und Schülern.

  • **gelöst** LDAP Authentifizierung nicht möglich

    In der Log findest du Zeitstempel -- Unix-Zeitstempel -- Client-IP -- Art der Anfrage -- Name des Benutzers -- URL der angefragten Internetseite und noch ein paar Sachen mehr.
    Bei Reihenfolge bin ich mir jetzt nicht sicher und meine Unterlagen liegen grad alle in der Schule.

    Die Idee mit dem Script hatte mein Klassenkamerad mit dem ich das zusammen mache. Das Script erstellt mit den Daten der original Logdatei eine neue wo nur die benötigten Daten drinstehen inkl. einer Kopfzeile, damit man auch weiss was da steht und nicht lange überlegen muss.

    Am Donnerstag haben wir ein wenig Unterrichtsfreie Zeit und wollten dann das Script fertigstellen und testen. Wenn du bis dahin Zeit hast kann ich dir dann ev. mal ein erstes Ergebnis präsentieren. Das mit dem testen ist bei uns auch immer so ne Sache, da das Internet (bzw. die jetzige Firewall) während des Unterrichts immer laufen soll. Das heisst bei uns von Montag bis Freitag von Morgens 8 Uhr bis Abends um 9 Uhr und der ganze Samstag Vormittag :( .

    2200 Schüler? die schaffen wir nicht, aber mit rund 850 haben auch wir ein paar.


    Wie macht ihr das mit den Passwörtern der Schüler? dürfen die diese selbst ändern? wenn ja, wie habt ihr das realisiert?

  • **gelöst** LDAP Authentifizierung nicht möglich

    Klingt nach dem gleichen Projekt auf zwei verschiedenen Schulen, aber aus dem selben Grund.

    Für die Logs werden wir hier ein Script verwenden, das die access.log von Squid auswertet, die unötigen Teile wegwirft und dann im Tagesrythmus archiviert. Die Tageslogs wiederunm werden dann im Monatsrythmus archiviert. Hintergrund ist, dass die Logs nicht größer als ein Tag werden, da die Logs sonst riesengroß und unübersichtlich werden.
    Und dann mal noch schauen, ab welchem alter ein Archiv automatisch gelöscht wird, kann man ja auch per Script automatisieren.

  • **gelöst** LDAP Authentifizierung nicht möglich

    Cala VCE, steht das zufällig für CampusLan??
    Ein OpenEnterprise Server? dann hast du doch bestimmt ein NDS bwz. eDirectory?
    Das haben wir hier in meiner Schule auch. Und genau da wird dann die Endian eingesetzt.

    Das mit dem LDAP hatte ich nur gemacht um in das Thema Verzeichnisdienst reinzukommen, da ich in Sachen Server und Linux ein Neuling bin.

  • **gelöst** LDAP Authentifizierung nicht möglich

    Zitat von "Sabine"

    Ich hätte da mal ein Problem ! ! :o
    Kannste mal deine Mitarbeiterin schicken ..................... :lol::lol:


    Nanu hat ffischer sie doch nicht vorbeigeschickt? :lol:

    Spass beiseite, ich mach mal ein konkretes Beispiel.
    LDAP-Server: Ich verwende Ubuntu mit OpenLDAP und mach die Administration jetzt mal mit LAM (LDAP Account Manager).
    Und beziehe mich auf Endian 2.4.1
    Im Anhang hab ich nen Screenshot von nem Baum den ich grad erstellt hab.

    In die Felder der Endian wird nun folgendes eingetragen:
    Port, IP und Passwort sind ja klar, sowie LDAP-Version = 3 ????,
    Bind DN EInstellungen: dc=meinedomain,dc=local ==>==>==> Das ist der Einstiegspunkt an dem die Suche nach Einträgen beginnt, hier ist das jetzt das gesamte Verzeichnis
    Bind DN Benutzername: cn=admin,dc=meinedomain,dc=local ==>==>==> Hier muss der DN eines Benutzers stehen der die notwendigen Rechte hat am LDAP hat, zum testen ist Admin der beste

    So und wenn du nun in meinen Screenshot schaust siehst du im rechten Abschnitt die Eigenschaften von dem Benutzer lehrer1.
    In dem Feld "objektClass" stehen nun die EInträge die du für die Suche verwenden kannst und in die Felder "Objektklasse der Gruppe" bzw. "Objektklasse der Benutzer" eintragen kannst. Hier wären das z.B. "posixAccount", "inetOrgPerson", "person" oder "organizationalPerson" möglich.

    Mit diesen Möglichkeiten kannst du ja mal Probieren, "person" klappt fast immer weil diese objektClass in so ziemlich jedem Verzeichnis zu finden ist.


    Hilft das beim Verständnis??
    Wie wärs du postest mal nen Screenshot von deinem Verzeichnis und den bis jetzt gemachten Endian Einstellungen?

  • Erfahrungen mit der 2.4.1

    Heut ist mir mal aufgefallen, dass die auch den Login für die Konsole geändert haben. Also wenn man direkt an der Endian sitzt.
    Hatte bisher an der 2.4.1 nur Putty benutzt und war total überrascht weil ich erstmal nicht wusste wie man sich anmelden muss.
    Warum tun die sowas??

    Jetzt erstmal noch das Tastaturlayout ändern. Das englische ist ja schrecklich.

  • Vermummungsverbot im Internet

    Zitat

    dass man mit offenem Visier kämpft, also seinen Klarnamen nennt


    Aha und vieviele Namen gibt es doppelt in diesem Land? werden dann noch weitere Angaben wie Geburtstag gespeichert um eine Person genau identifizieren zu können?

    Zitat

    Dabei sei der neue Personalausweis eine "ideale Möglichkeit, sich im Internet zu identifizieren"


    Soso und was ist mit Leuten aus anderen Ländern, dürfen die dann nicht mehr Mitglied in nem deutschen Forum sein? und da auch nichts mehr reinschreiben, schließlich haben die ja keinen deutschen Perso. Nichtmal ich hab diesen digitalen Plastik****, was sich auch so schnell nicht ändert.

    Zitat

    Es könne nicht sein, dass sich Bürger hinter selbstgewählten Pseudonymen versteckten und sich so der Verantwortung entzögen


    OK, dann verbieten wir mal schnell noch Künstlernamen. Ich meine wie kanns denn sein das sich Leute hinter dem Namen "Lady ........." und was es sonst noch so an Künstlernamen gibt verstecken. Entziehen die sich etwa auch ihrer Verantwortung? Wenn man einen "normalen" Foren-User finden will gibt es auch dazu entsprechende Möglichkeiten (IP usw).


    So ein Vorschlag erinnert mich an die Sachen mit den Netzsperren. Da war ja das Motto das man auf ne Tür schreibt "Hier findet man illegale Kinderpornos, betreten verboten" aber leider vergisst die Tür abzusperren. Jeder der was von der Sache verstand sagte damals das diese "Problemlösung" aus technischer Sicht irrsinnig und leicht zu umgehen ist, interressiert hat´s in der Politik aber scheinbar niemand.

    Also echt, Kopfschütteln reicht da nicht mehr aus.

  • Erfahrungen mit der 2.4.1

    Ich hab gestern auf meiner Testmaschine 2.4.1 installiert und inzwischen auch die LDAP Authentifizierung hinbekommen, leider nur benutzerbasierend. Morgen will ich die Skripze, Firewallregeln uns. einfügen, mal sehen ob das alles klappt.
    Wenn ja wirds dann Zeit meinen Lehrer zu einem Probebetrieb zu überreden und ein paar Schüler drauf loszulassen.

    EDIT: Ich hab übrigens mit der ISO installiert

  • **gelöst** LDAP Authentifizierung nicht möglich

    Ich dachte schon ich hätte die Lösung mit den Passwörtern die nich angenommen werden in diesem Thread gefunden https://www.efw-forum.de/www/forum/view…66&start=30
    Aber irgendwie verstehe ich nicht genau was er gemacht hat (2. letzter Satz).

    Zitat von "Gl05e"

    problem ist jetzt nun das wenn ich denn richtigen BN und PW eingebe mich der Proxy trotzdem nicht reinlässt sondern einfach wieder nach bn und pw fragt.

    edit: das pw wird nun angenommen nach dem ich Authentifizierung für uneingeschränkte Quelladressen erforderlich ausgenommen habe.


    Ich habe es so verstanden, dass er als Quelle der Anfrage anstatt "Alle" ein bestimmtes Netz, Zone oder so eingetragen hat, verstehe ich das richtig?

    Die Passwörter werden dennoch nicht akzeptiert, hilft GI05e´s Lösung eventuell nicht weil er die 2.2 hat und ich die 2.4 :?


    EDIT: Habs jetzt hinbekommen indem ich auf die 2.4.1 gewechselt hab, da ging das mit der Passwortabfrage auf anhieb. War positiv überrascht.

  • **gelöst** LDAP Authentifizierung nicht möglich

    So, hatte gestern und heute ein wenig Zeit mich nochmal dranzusetzen und bin etwas weitergekommen.
    Es liegt nicht am AD-Beitritt, den ich jetzt auch nicht gmacht habe bzw. nicht machen konnte. Beim nachlesen über den AD-Beitritt usw. fand ich dann aber den entscheidenden Hinweis.

    Bei den Servereinstellungen unter "Proxy" >> "Authentifizierung" wird in dem Feld "Objektklasse der Benutzer" und "Objektklasse der Gruppe" nicht der Distinguished Name (DN) der Klasse in der sich die Gruppen bzw. Nutzer befinden eingetragen sondern nur die Art der Objektklasse.
    Das bedeutet in meinem Fall das ich im Feld für Nutzer anstatt "ou=People,dc=meinedomain,dc=local" , "posixAccount" eintragen muss.
    Und siehe da der LDAP Baum meines Servers kann ausgelesen werden. Oh mann hätt ich gewusst das das nur so ne Kleinigkeit ist........

    Allerdings hab ich jetzt wieder eine andere Baustelle. Beim öffnen eines Browsers fragt mich der Proxy nach Name und Passwort (wie es sein soll), akzeptiert jedoch keins, egal von welchem Nutzer. Mal schauen ob ich zu dem Problem was finde

    Gruß Peter