Re: Frage zu DHCP / LDAP - dynamischer Bereich stimmt nicht

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo Rico,

Rico Pietzsch schrieb:
> > In ähnlicher Weise geht das auch mit dem Sperren und Freigeben des
> > Surfens, denn dazu müssen "nichts weiter" als IP-Listen für diesen raum
> > dem Squid zur Verfügung gestellt werden und ein reload und der ganze
> > Raum ist gesperrt bzw. freigegeben.
> >
> > > Sven hat schon
> > > recht, dass du hier etwas anderes erwartet hast als im DHCP-Gebrauch
> > > unter "Pool" verstanden wird.
> > okay: mir ist es doch völlig gleich ob das pool oder sonstwie heisst.
> > Hauptsache es ist eine Gruppierung für *feste* IPs.
> >
> > > Was ich vermisse, wie gedenkst du die logische Gruppierung der Rechner
> > > zur Trennung vom Netz zu nutzen? DHCP und Paketkontrolle spielen sich
> > > eigentlich in zwei getrennten Ebenen ab und IMHO sollte das auf Basis
> > > von Subnetzen oder VLANs passieren.
> > soche "raumweisen" Filter oder das sperren der IPs eines Raums am Squid
> > oder auch bei der Firewall (wegen Masquerading) hat doch nichts mit
> > Subnetzen oder gleich gar nichts mit VLANs zu tun. Es geht einzig und
> > allein um *Gruppierungen* von Rechnern (im LDAP). Und da diese Zuordnung
> > fest sein muss (es geht nicht um Laptops), geht es um feste IPs.
>
> für micht klingt es als ob du alles gleich mit einer Lösung
> bewerkstellen möchtest. 

na sicher doch.

> Aber dafür ist das DHCP eigentlich nicht da.

nö, der LDAP. *Deswegen* verwalte ich ja die Daten von DHCP im LDAP.

> Dann bräuchte man ja sicher auch noch ein Magagebares Switch etc...

Ich verstehe nicht ganz: wie soll ein managebare Switch z.B. Logfiles
aufbereiten (nach "Rechnergruppierungen" filtern)?

> Wie wäre es denn wenn du für jeden Teilaufgabe das dafür geeignetes
> Werkzeug nimmst.

ich bin kein Linux-Freak und das was du schreibst ist absolute
Linux-Philophie. Nichts für mein Alter (bin über 50). Und ich kann auch
kein Shellscripting, deswegen eine Sprache (Perl) und damit mache ich
alles. ich weiss dass auch Perl *NICHT* der Linux-Philosophie entspricht.
Aber ehrlich gesagt: das interessiert mich herzlich wenig.

> IP vergabe via DHCP raumspezifisch+Rechnerspezifisch.
> Um die Pools voneinander zu trennen VLANs
>
> die Zugriffskontrolle auf Webseiten erfolgt via squid als Zwangsproxy
> mit ACL's
> und die ACL wird via LDAP realisiert (IP oder Nutzerspezifisch).

genau darum gehts! es geht um einen geeigneten "Raumfilter". Und ich
möchte den LDAP fragen: welche IPs sind in dem Raum und da hat er die
ohne irgendwelche Kopfstände zu liefern. Um da nicht jedes mal eine
Filter-Orgie ablaufen zu lassen, sollen die schon im LDAP gruppiert
werden.

> Für Squid gibts sicherlich einige Tools um die besuchten Seiten zu
> Filtern, und daraus dann sicherlich white und blacklists zu erzeugen.
> Das hätte auch den Vorteil das du von Vornherein Seiten sperren kannst.

wir setzen eh Squidguard ein.

> Nur mit https isses etwas komplexer.

Ist es auch nicht, weil es hier nur um die Einträge im Logfile geht
und da macht http bzw. https keinen Unterschied. Wenn man nach den Inhalt
der Seiten filtern will wie z.B. mit Dansguardian, dann würde das zutreffen.
Aber darum geht es doch gar nicht.

Bitte nicht falsch verstehen: ich bedanke mich für deine Antwort.
Aber deine Hinweise passen nicht wirklich.

Die Lösung (was für mich eine Lösung ist ;) ) gebe ich in der nächsten Mail an.

MfG Hans-Dietrich