Squid Beschränkungen ohne IP Adressen

[anyone]

Hallo.

Hat jemand einen Ansatz, folgendes Problem zu lösen:

In Firma XY wird Squid (2.4 Stable 3 auf Linux) als Proxy eingesetzt. Es gibt Seitenbeschränkungen, d.h. ein paar Plätze haben vollen Internet Zugriff, ein paar haben einige wenige Seiten freigeschaltet, ein paar Plätze haben gar keinen Internet Zugang.

Die ACLs basieren auf den jeweiligen IP Adressen der PCs.

Nun soll nach Möglichkeit zukünftig DHCP eingesetzt werden (bisher waren die IP Adressen fest zugeordnet), was eine feste Zuordnung der IP Adresse zum ACL Zugriff nicht mehr ermöglicht (unendliche Lease Zeit der IP Vergabe soll nicht genutzt werden).

Die Möglichkeit MAC ACLs einzusetzen finde ich persänlich aufgrund des hohen Pflegeaufwands nicht so optimal.

Gibt es eine andere Möglichkeit die ACLs für einen PC festzulegen. Optimal wäre ja der NetBIOS Name des PCs, leider gibt es da scheinbar keine Möglichkeit, diesen für die ACLs zu nutzen...?

[dr.disk]

Dazu fallen mir auf die Schnelle folgende Lösungsansätze ein:

• Jenachdem wieviele Rechner Ihr habt kann man auch mit bestimmten Bereichen arbeiten. Z.B. die Adressen 1-31 haben vollen Zugriff aufs Internet, 32-63 beschränkten usw. Die mit vollem Zugriff haben statische IPs, die 'beschränkten' haben dynamische. Jeder der aus einem der bestimmten Bereiche kommt landet automatisch in der jeweiligen Kategorie. Solange es nicht viele Rechner sind hält sich der Aufwand hierbei in Grenzen.
  
• DHCP mit DNS. Der DHCP-Server kann im DNS Einträge setzen, d.h. zu der vergebenen IP kann er einen Rechnernamen setzen und diesen könnte man in Squid abprüfen. Gefällt mir persönlich aber nicht so gut diese Lösung.
  
• DNS mit DHCP. Windows Rechner können Ihren Namen im DNS eintragen sobald diese eine IP erhalten haben. Der Rest ist analog zu dem eins drüber - von der Tatsache mal abgesehen, dass dies halt nur mit Windows Rechnern funktioniert (bei Win ist' halt schon drin <-- bevor hier irgendjemand meckert...).
  
• Authentifikation. Bevor ein Benutzer ins Internet kann, wird er nach Benutzernamen und Paßwort gefragt. Anhand des Benutzernamens ist es dann möglich die Beschränkungen zu definieren. Ein schöner Vorteil davon ist, dass man auch mal an einem anderen Rechner un-/beschränkten Zugriff auf das Internet haben kann. Das ist die Lösung die ich meistens bevorzuge.
  
• Ein Quota System bietet die Kombination aus Volumen- und Seitenbeschränkungen. Das könnte ja ebenfalls was sein. Ich kenne da derzeit eigentlich nur squidquota aus der SquiVi2 Sammlung (squivi2.sf.net).