WL500GP mit Squid und Authentifizierung

[carsten]

Hallo alle!

Ich möchte gerne meinen Squid auf meiner WL500GP dazu nutzen, um zu verhindern, daß mein kleiner auf Seiten kommt, auf denen er nichts zu suchen hat.

Die Lösung, die ich bis jetzt am laufen habe basiert auf einer Whitelist.

Problem ist, wenn ich dann mal ein wenig google, bin ich mit einem Putty ständig am nachpflegen der Whitelist. Das will man ja auch nicht!

Also hatte ich daran gedacht, den Proxy mit Authentifizierung zu machen, und darüber dann mir den Whitelist freien Zugang zu verschaffen.

Wie sowas geht, habe ich auch schon gefunden. Stichwort: NCSA_Auth
Offensichtlich gibt es das Modul/Programm nicht in den IPKG Paketen zur WL500.

Hat überhaupt schon jemand einen Authentifizierenden Squid bei sich am Laufen, oder wie kann man das auch ohne NCSA_Auth hinbekommen.

Am liebsten wäre mir, eine Authentifizierung gegen die lokale /etc/passwd

Gruß

[wengi]

basic auth sollte doch vollkommen reichen...
Und das kann Squid 100%.

Du willst doch nur, dass beim surfen ein user/pass abgefragt werden und in Abhängigkeit davon eine ACL (Whitelist) genutzt wird.

mal kurz in die squid.conf gegriffen dürfte dies hier der interessante Part sein:

Code:

#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

Und noch eine ACL, die dem authentifizierten benutzer alles erlaubt und dem rest nur die Whitelist.

Das ist aber nur sehr grob. Du solltest mal die sample conf von squid durchlesen. 4000 Zeilen und da steht alles drin

[carsten]

@wengi

Ja ja schön schön. Darauf bin ich auch schon gestoßen!
Aber wenn man sich die erste Zeile deines Code Schnipsels ansieht, dann kommt man ziemlich schnell darauf, daß dort noch ein weiterer Teil eingetragen werden muß!

Siehe hier:
#auth_param basic program <uncomment and complete this line>

Sample Configs dazu sagen z.B.
auth_param basic program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd

Grundsätzlich nicht unklar! Aber ein ls -lRa |grep -i ncsa über das gesamte FS der Asus brachte mir leider keinen Hinweis auf das Programm nsca_auth, welches ich wohl brauche, damit squid Authentifizieren kann.

Woher kann ich das nsca_auth kriegen? warum ist das eigentlich im Paket nicht mit drin??????

Die Config habe ich schon verstanden! Jetzt gehts ums doing!

Zusätzlich gibt es noch das Problem, daß das nsca_auth nichts mit der /etc/passwd anfangen kann, da dort einfach zuviele Informationen drin stehen (Gruppen etc)

Also wie gehts anders?

[wengi]

da ich Squid nicht installiert habe muss ich jetzt mal raten.

Such mal bitte welche auth Helfer überhaupt mitgeliefert werden.
Die liegen bei normalen System entweder in /usr/local/squid/libexec oder in /usr/local/libexec/squid/. Deim Asus müsste das irgendwo in /opt... liegen.

Ich finde z.B

Code:

/usr/local/libexec/squid/digest_pw_auth
/usr/local/libexec/squid/msnt_auth
/usr/local/libexec/squid/ncsa_auth
/usr/local/libexec/squid/ntlm_auth
/usr/local/libexec/squid/pam_auth
/usr/local/libexec/squid/smb_auth
/usr/local/libexec/squid/smb_auth.sh
/usr/local/libexec/squid/yp_auth

auf einer anderen Squid Installation.

Es wäre gut zu wissen welche auth helper überhaupt zur Verfügung stehen...

[carsten]

Hallo wengi,

Es gibt in dem squid Paket nicht einen der in diversen Sample configs genannten auth Helper!
Kein PAM kein Auth_ldap kein ncsa_auth nix

Das ist genau mein Problem! Ich habe keine Helper für den Squid :-(

Ich hatte schon nach einem Paket mit ncsa_auth gesucht. Leider habe ich nur debian Pakete gefunden, die ich aber nicht wirlich entpacken kann (habe selbst kein Debian und für win32 habe ich keinen Entpacker für debian gefunden).

Abgesehen davon: Ich bezweifle mal, das ein ncsa_auth für ein Debian (selbst aus einer mispel Dist) so ohne weiteres läuft.

Wie kann ich jetzt weiterkommen?

[wengi]

Ok. Jetzt hab ich Dein Problem verstanden
Ich versuch mal rauszubekommen wer Squid pflegt...

EDIT1:
Laut trac ist es bzhou. Leider hab ich keine Ahnung, wer dahinter steckt.
Es gibt leider auch keinen Eintrag im Wiki für Optware.

EDIT2:
Hast Du Squid schon ohne auth am laufen? Wie ist die Performance? Ich stelle mir das ganze seeeeehhhhhhhrrrr lllaaaaaaannnnnngggggsssssaaaaammmmmm vor.

[carsten]

Hallo wengi,

Der Squid läuft auf der Asus schon seit längerem ohne Auth.
Mittlerweile ist es mit meinem Kleinen allerdings so, daß er die URL's selbst eingibt (er ist knapp 6). Daher auch der wunsch nach Whitelist und auth.

Die Performance des Squid ist soweit OK. Ich kann mich zumindest nicht beklagen. Im background mache ich gerade mal einen großen Download.

Top sagt um und bei 30-32 Prozent CPU @3Mbit Downlstream.
Soweit also alles super.

Auch mit Cache ist alles OK. Ich denke, der IE von MS verlangsamt das surfen deutlicher, als der Squid auf der Asus das jemals machen wird.

Vor allem, wenn man bedenkt, was die Kiste noch so zu tun hat:
Samba 2 als PDC!
NFS Server!
Lighttp mit PHP als Webserver!
und natürlich FTP (Proftpd).

Ach ja Firewall und Gateway ja auch noch

Ich finde die WL500GP ist ein echtes top gerät.

Wäre übrigens echt super, wenn du jemanden dazu kriegst, wenigstens das ncsa_auth zur Verfügung zu stellen.

Danke für deine Bemühungen!

Gruß


Übrigens: Wird sicherlich notwendig sein, wenn tatsächlich jemand das ncsa_auth macht
Squid version
squid - 2.6.STABLE9-1
geladen von http://ipkg.nslu2-linux.org/feeds/op...g/cross/stable

[carsten]

Hallo wengi (sofern du noch mitliest)
Hallo ALL

Ich habe mein Problem jetzt in den Griff bekommen!

Ich habe einfach von Freewrt das Paket squid-mod-basic-auth-ncsa_2.5.STABLE10-3 genommen, und ausgepackt.
Da für dieses Modul die Installation ja nur ein kopieren vorsieht (Leider nicht an die ganz richtigen stellen bei mir) habe ich also die Datei ncsa_auth in /opt/usr/lib/squid kopiert, und dem Squid nach Anleitung (Quelle diverse) gesagt, daß er ncsa_auth nehmen soll.
Und schon fragte mein Squid mich beim nächsten Surfen nach Benutzer und Passwort.

Diese habe ich aus der /etc/passwd entnommen (copy und paste). Also nur den Benutzernamen und das Passwort als Crypted wert, und in eine neue Datei eingefügt (und diese dann als Parameter für das ncsa_auth angegeben).

Easy does it eigentlich, wenn man erstmal das richtige Modul gefunden hat

Gruß

[wengi]

Sehr gute und "einfache" Lösung.
wengi

[Quadronix]

Hallo,

ich habe mich schon zu fast zu tote gesucht. Und zwar nutz ich den im Thread erwähnten ncsa_auth, aber mir schmiert Squid dauernt ab. Die Google Suche spuckt nichts brauchbares aus.

Das Modul und die eigene passwd ist rechtetechnisch "nobody" zugeordnet. Danke für die Hilfe

Code:

2009/01/23 21:01:11| Starting Squid Cache version 2.6.STABLE21 for mipsel-unknown-linux-gnu...
2009/01/23 21:01:11| Process ID 537
2009/01/23 21:01:11| With 256 file descriptors available
2009/01/23 21:01:11| Using poll for the IO loop
2009/01/23 21:01:11| Performing DNS Tests...
2009/01/23 21:01:11| Successful DNS name lookup tests...
2009/01/23 21:01:11| DNS Socket created at 0.0.0.0, port 1030, FD 6
2009/01/23 21:01:11| Adding nameserver 4.2.2.2 from /etc/resolv.conf
2009/01/23 21:01:11| Adding nameserver 192.168.2.1 from /etc/resolv.conf
2009/01/23 21:01:11| Adding nameserver 4.2.2.2 from /etc/resolv.conf
2009/01/23 21:01:11| helperOpenServers: Starting 5 'ncsa_auth' processes
2009/01/23 21:01:11| Unlinkd pipe opened on FD 17
2009/01/23 21:01:11| Swap maxSize 204800 + 8192 KB, estimated 0 objects
2009/01/23 21:01:11| Target number of buckets: 819
2009/01/23 21:01:11| Using 8192 Store buckets
2009/01/23 21:01:11| Max Mem  size: 8192 KB
2009/01/23 21:01:11| Max Swap size: 204800 KB
2009/01/23 21:01:11| Rebuilding storage in /opt/tmp/squid/ (DIRTY)
2009/01/23 21:01:11| Using Least Load store dir selection
2009/01/23 21:01:11| Set Current Directory to /opt/var/squid/cache
2009/01/23 21:01:11| Loaded Icons.
2009/01/23 21:01:11| Accepting proxy HTTP connections at 0.0.0.0, port 4446, FD 19.
2009/01/23 21:01:11| Accepting ICP messages at 0.0.0.0, port 3130, FD 20.
2009/01/23 21:01:11| WCCP Disabled.
2009/01/23 21:01:11| Ready to serve requests.
2009/01/23 21:01:11| WARNING: basicauthenticator #5 (FD 12) exited
2009/01/23 21:01:11| WARNING: basicauthenticator #4 (FD 11) exited
2009/01/23 21:01:11| WARNING: basicauthenticator #3 (FD 10) exited
2009/01/23 21:01:11| Too few basicauthenticator processes are running