mmm...

Hat jemand eine Ahnung, wie man Squid (http://www.squid-cache.org/) so konfigurieren kann, das man Squid sagen kann, du darfst jetzt diese Gruppe rauslassen und ab jetzt nicht mehr?
Problem dabei ist, das es dynamisch sein soll, sprich, es gibt keine feste Uhrzeit oder sowas. Bisher hab ich nichts gefunden, was dem entsprechen würde :( ...

mmm...

Hat jemand eine Ahnung, wie man Squid (http://www.squid-cache.org/) so konfigurieren kann, das man Squid sagen kann, du darfst jetzt diese Gruppe rauslassen und ab jetzt nicht mehr?
Problem dabei ist, das es dynamisch sein soll, sprich, es gibt keine feste Uhrzeit oder sowas. Bisher hab ich nichts gefunden, was dem entsprechen würde :( ...

was dynamisch?
wie is der auslöser dann wenn nicht zeitlich?

mmm...

Dynamisch eben, nicht statisch. Wenn du einer Gruppe sagst, sie darf von 10:00 - 12:00 Uhr surfen, wäre es nicht dynamisch, es wäre festgelegt.
Ich brauch aber sowas, was es erlaubt, jemanden/ mehrere temporären Zugang zu erlauben, aber "irgendwann" wieder rauszuwerfen.
Soweit ich es gesehen habe, gibt es die Option authentication_ttl, aber die funzt irgendwie nicht, weil Squid dummerweise wohl die Passwörter cached und so die Leute nicht einfach gekickt werden können.
Auf einer Webseite hat man einfach "squid -k reconfigure" als Lösung angegeben, aber das hat erstmal nicht so geklappt, wie gewünscht. Die erlaubten User sollen dabei die Verbindung nicht verlieren ... die Authentication geht über LDAP ...

Würde so was in der Art nicht reichen?

acl temporary_user ident -i "/etc/squid/ACL/tempraryusers"
http_access deny temporary_user

Immer wenn sie rausdürfen, den Usernamen aus der Datei entfernen und "squid -k reconfigure" aufrufen. Der Befehl killt in dem Fall weder die Connections zu den erlaubten Usern noch bricht er für sie die laufenden Verbindungen ab.

mmm...

Wahrscheinlich nicht, ident ist bei Unix und Co. standardmässig dabei, bei Windoof muss man es extra installieren, mal schauen. Wird wohl darauf hinauslaufen, dass das PWD im LDAP (jaja, LDAP nix DB, blabla) geändert wird und hoffentlich klappt es dann entweder mit authentication_ttl, acl dingsbums [timeout] neu setzen oder -k reconfigure ...

mmm...

Effektiv kann es IMHO nur über eine ACL-Anpassung und anschließendem reconf gemacht werden. Bei uns wird der Zugang zwar nur über Source- und Destination-IP gesteuert, aber die Dynamik dahinter ist sehr mit Deiner vergleichbar. :)

mmm...

Jup, die ACL muss wohl manipuliert werden und Squid muss danach genötigt werden, die "neuen" ACLs einzulesen, dummerweise cached es die ACLs ansonsten 1 Stunde (der acl [timeout]- Wert, welcher bis Version 2.4 definitiv noch zur Verfügung stand, weil das auth-Teil zu dem Zeitpunkt noch seine Heimat bei Sourceforge hatte) und liest sie dann erst neu ein. Hatte heute mittag auf irgendeiner Webseite dazu ein paar einfache Infos für die 2.4er Version gefunden, ab 2.5 ist das auth-Teil Bestandteil von Squid geworden.

Und jup, man könnte es auch über die IP machen (was bei DHCP wieder etwas umständlich sein kann), wobei es auch einen authentication_ip_ttl gibt, wo man durch max_user_ip sagen kann, es darf jeder Benutzername pro IP nur 1x oder XXX oft angemeldet sein, wenn der Max_User_IP- Wert überschritten wird, sollen "alle" IPs abgemeldet werden, was auch eine lustige Variante wäre, wenn man gewisse Leute ärgern will ;D ...

Naja, mal schauen, testen kann ich es erst in den nächsten Tagen ...

Nebenbei zur Erklärung: Bei uns ist DHCP abgeschafft worden, weil jeder Teilnehmer eh' per MAC-Adresse authentifiziert werden muß, bevor er in unser Netz eingebunden werden darf. Seit dem ist das Netzwerk auch von vielen Broadcasts befreit. :D