Wie und ob man Benutzerzugriffe speichert

Dieser ist standardmäßig im GRÜNen Netz eingeschalten. Transparenter Proxy bedeutet, dass gewisse Ports automatisch auf den Proxy umgeleitet werden: man also keinen Proxy auf dem Client eintragen muss. Für http (Port 80) geht das wunderbar, für alle SSL-Ports, z.B. https (443) geht das nicht mehr.

Features:

• Bei Transparentem Proxy kann der am Client angemeldete Benutzer ermittelt werden indem die IP aus dem Proxylog mit den Logindaten auf den Server abgeglichen werden.
• Wenn ich einen lokalen Benutzer anlege, dessen Login schulweit bekannt ist, für Clients, die ab und an offline verwendet werden, so könnte darüber anonym gesurft werden.
• Der URL-Filter des IPFire funktioniert (für nicht verschlüsselte Webseiten)

Abschalten des transparenten Proxys

• Wer den transparenten Proxy abschaltet, hat einen normalen Proxy am Laufen oder schaltet ohne Proxy das Internet ungefiltert (aus Sicht der linuxmuster.net Lösung) frei.
• Bei normalem kann dennoch URL-Filter und Benutzerlogging betrieben werden, indem man erzwingt, dass jedes Endgerät den Proxy einträgt und noch identd oder eine andere authentifizierungsart benutzen lässt.

Mit Hilfe eines Identd kann man noch einfacher die Seitenaufrufe eines Benutzers loggen.

Features:

• Der Identd ist ein Daemon, der auf dem Client läuft und dem Proxy den angemeldeten Benutzer meldet.
• Identd kann man auf allen Clientbetriebssystemen (Windows, Linux, …) installieren und so starten, dass der User am IPFire geloggt wird. Dazu Markus am 15.07.2016 14:55:

<blockquote>Dann kam Holger mit identd. Wir hatten auf unseren Windows Clients und auf den Linux Clients Identd am laufen und es war ein Traum. In den logfiles stand bei jedem Zugriff der Name. Einfach perfekt.

Dann kam der Wechsel auf 6.1 (von 5.x) und der Wechsel auf Ipfire und identd lief bei uns nicht mehr rund.Wenn viele Schüler gesurft haben, wurden Webseiten nicht mehr angezeigt. Eine Minute später wurden sie wieder angezeigt. Super, super nervig. So konnte keiner mehr arbeiten.

Wir haben dann natürlich alles mögliche probiert und geschaut. Die Ipfire bekam mehr RAM, eine SSD, usw. Gebracht hat es bei uns 0,nichts. Stabiler Betrieb nicht möglich.

Dann habe ich schweren Herzens Identd abgeschaltet. Jetzt läuft alles wieder rund.

Wenn Du es hinkriegst, unter 6.x ein stabiler Massenbetrieb mit identd, dann lasse es mich bitte wissen. Dann mache ich mich auch noch einmal düber. Denn: identd war super.</blockquote>

• Achtung: Was auf dem Client läuft kann manipuliert werden.Doch selbst wenn das passiert, kann man durch Abgleich von IPs im Proxylog und den logondateien auf dem Server heraus bekommen, wer den wirklich am Rechner saß.

Wer auf den Clients noch für andere Zwecke anonyme Benutzer anlegt, der würde mit diesen Benutzern anonymes Surfen etc. erlauben.

Lösungen:

• manche lösen das so: sie verwenden den ident, aber mit einer Blacklist auf dem IPFire: in dieser steht der lokale Nutzer (bei mir „schueler“)
• ich löse das so: auf dem Linuxclient wird beim Anmelden des „offline“ Benutzers die interne Firewall des Linuxclients gesetzt, so dass gar kein Netzwerktraffic von Programmen des Nutzers möglich ist. Aber:

<blockquote>Was auf dem Client läuft kann manipuliert werden.</blockquote>

die sich mit dem Thema befassen:

• https_filtern
• internetfilter_urlfilter
• dansguardianlog
• oident_linuxmuster
• identd_logging