Internet Atzipen Kontrola

Era askotan egin daiteke internet atzipen kontrol bat. Normalena, suhesian ebaki kanporako atzipena. Soluzio honek, arazo bat dauka. Edonork ezin dezake suhesia kontrolatu. Beste metodo bat behar dugu. Edozein irakaslek erabil dezakeena. Horrela, irakasle batek, gela bati ezar diezaioke interneterako atzipena edo ukatu. Gainera, era erraz batean behar du egin. Normalena, web orri baten bitartez. Hau egiten saiatuko gara.

Ikus dezagun ikastetxe baten adibidea.

Eskolako Azpisareak

Azpisareak

IP Taldeak

Irakasleak

172.16.0.0/24

Ikasleak

172.16.1.0/24

Zuzendaritza

172.16.2.0/24

Zerbitzariak

172.16.3.0/24

Ikasgelen Helbideak

Ikasgelak

IP Taldeak

Gela-01

172.16.1.17 -> 172.16.1.32

Gela-02

172.16.1.33 -> 172.16.1.48

Gela-03

172.16.1.49 -> 172.16.1.64

Gela-04

172.16.1.65 -> 172.16.1.80

Gela-05

172.16.1.81 -> 172.16.1.96

Gela-06

172.16.1.97 -> 172.16.1.112

Gela-07

172.16.1.113 -> 172.16.1.128

Gela-08

172.16.1.129 -> 172.16.1.144

Baharrezko softwarea

Atzipen kontrola squidekin  egingo dugu. Behar ditugun paketeak squid, apache, php eta (Squeeze banaketan) sudo dira. Besteak instalatuta daude.


    aptitude install squid apache2
libapache2-mod-php5 php5 php5-cli php5-gd sudo

Instalazio script-ak, /var/spool/squid-n sortuko digu katxe-aren direktorio hierarkia, eta martxan jartzen du. Badaukagu ba, squid martxan. Edozein arrazoirengatik, ez baditu direktorioak sortzen, sortzera behar dezakegu squid -z agintearekin.

Squid konfiguratzen

Konfigurazio fitxategia /etc/squid/squid.conf da. Probak egin nahi baditugu, hona hemen aldatu daitezkeen parametro batzuk:


# ---------- Cache Parameters ----------
cache_mem 100 MB

maximum_object_size 32768 KB
maximum_object_size_in_memory 8192 KB
ipcache_size 8192
fqdncache_size 8192

Ez dira egin probak, aldaketa hauen eragina ebaluatzeko, baina RAM memoria nahikoa badugu, ez dute arazorik sortu behar. Jarrai dezagun konfiguratzen.


# ---------- Cache Refresh Patterns ----------
icp_port 0

refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern .           0       20% 4320
refresh_pattern \.gif$      10080   100%  43200
refresh_pattern \.jpg$      10080   100%  43200
refresh_pattern .           960     90%   43200   reload-into-ims

Komenigarria da hurrengoa aldatzea. Jarri komeni zaizkizuen izenak / esaldiak.


# ---------- Administrative Data ----------
ftp-user anonymous@NIRE-ESKOLA.NET
cache_mgr sare-admin@NIRE-ESKOLA.NET

Ubuntu 12.04 LTS Linux banaketaren kasuan bezala, gure instalazioak SQUID3 badauka, direktorioen izenak aldatu egin dira. Hau dela eta, komeni zaigu hurrengo loturak egitea.

    ln -s /usr/share/squid3 /usr/share/squid
    ln -s /etc/squid3 /etc/squid
    ln -s /var/log/squid3 /var/log/squid

Euskaraz jarriko ditugu errore mezuak. Hortarako, egokitu ditugun mezuak kopiatuko ditugu, eta Squid-en konfigurazioa aldatu. Lehenengo, /var/www/lhiak/squid-basque eta /var/www/lhiak/squid-spanish direktorioak kopiatuko ditugu bere kokalekura. Lehendik dauden gaztelerazkoei segurtasun kopia ere egingo diegu.
    mv -p R /usr/share/squid/errors/Spanish /usr/share/squid/errors/Spanish-orig
    cp -p R /var/www/lhiak/squid-basque /usr/share/squid/errors/Basque
    cp -p R /var/www/lhiak/squid-spanish /usr/share/squid/errors/Spanish

Orain, squid konfigurazio fitxategian, Euskara aukeratuko dugu errore mezuen hizkuntzarako. Hurrengo lerroa horrela geratuko da /etc/squid/squid.conf fitxategian:


error_directory /usr/share/squid/errors/Basque

Erregistro sistema jarriko dugu. Zer erregistratu, eta zein neurritan.
# ---------- LOG System ----------

cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log squid
useragent_log /var/log/squid/useragent.log
referer_log /var/log/squid/referer.log

debug_options ALL,1

Ubuntu 12.04 LTS banaketaren konpilazioan ez dira onartzen useragent_log eta referer_log parametroak.

Zein portutan egon behar den zain esango diogu. Sare txartelaren helbidea ere esango diogu,. Honela, bat baiono gehiago baditugu, zeini kasu egin behar dion erabaki dezakegu.


# ---------- SQUID Listening Address:Ports ----------
http_port 172.16.0.4:3128

http_port 172.16.1.4:3128
http_port 172.16.2.4:3128
http_port 127.0.0.1:3128

ACL-ak

Nork egin dezaken zer gauza, eta nor ez zehazteko, acl-ak erabiltzan dira. Sistema hau erabiliko dugu Interneteko atzipena kontrolatzeko. Squid proxy-ak, adierazita dauden ordenan aztertuko ditu acl-ak.

Zein portu diren seguruak eta beste gauza batzuk adieraziko dizkiogu:


# ---------- Secure Ports and ... ----------

acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 81      # http mail
acl Safe_ports port 21      # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl Safe_ports port 631     # cups
acl Safe_ports port 873     # rsync
acl Safe_ports port 901     # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

Ubuntu 12.04 LTS banaketaren, azken hiru lerroak honela geratu behar dute:

acl all src all
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

Orain, beharrezkoak diren baimenak emango dizkiegu adierazitako ACL-ei.


# ---------- Standard Access Permissions ----------

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

Zein orri ez dituen katxeatu behar esango diogu. Normalean, cgi-ak izango dira, berrien orriak, eta aguraldiarena, noski. Geinera, esan diezaikegu, ez ditzala katxeatu abestiak, bideoak, etab. Administratzailearen esku utziko dugu erabakia.


# ---------- No Caching Addresses ----------
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
include /etc/squid/iak.noca.conf

Ez katxeatzeko helbideen zerrenda, /etc/squid/iak.noca.conf fitxategian jarriko dugu. Hau izan daiteke bere edukia:


acl ESNEA dstdomain .weather.com
acl ESNEA dstdomain .berria.info
acl ESNEA dstdomain .gara.net
acl ESNEA dstdomain .elpais.es
acl ESNEA dstdomain .elcorreodigital.com

no_cache deny ESNEA

Atzipen kontrola

Denok dakigu, nabigatzaileetan sortzen diren arazoak, gehigarriak direla eta. Batez ere Internet Explorer nabigatzailean. Gainera, gehigarri edo plugin hauen, erabiltzaileak jakin gabe instalatzen dira. Hau dela eta, bost motatako acl-ak sortuko ditugu. Lehenengoa, irakaslee sareak baimentzeko. Web orri instituzionalak jarriko ditugu gero. Orri hauek edozein nabigatzailekin eta beti ikusteko aukera izango dugu. Gero, eduki ez egokia edo banda zabalera jaten dizkigutelako debekatuta ditugun domeinuak. Gero, seguruak ez diren nabigatzaileei ukatu egingo diegu interneterako atzipena. Azkenik, ikasgelen kontrola egingo dugu. Hona hemen irudi bat:

Kontutan izan, zerrenda hauek, jarrita dauden moduan ebaluatuko direla. Hau da, lehenengo agertzen denak erabakiko du ukatu ala ez atzipena. IP zerrendak dst acl mota  bidez jartzen baditugu, DNS konexioa behar da lehenengo ezxarri. Motelagoak izango dira konexio ebaluapen hauek. IP helbidearen bitartez jartzen baditugu, prozesua azkarragoa izango da. Horrela jarriko ditugu, adibide gisa. Hurrengoan beste erara jarriko ditugu. Ikus ditzagun orain, erabiliko ditugun acl-ak. Zerrendak komentatuak daude, eta beraz, ez dugu azalpen gehiagoreik emango.

Lehenetsitako ezarpenetan, squid-ek soilik onartzen ditu localhost konexioak. Gure sareetatik eginiko konexioak onar ditzan, horrela agindu behar diogu. Squid-en konfigurazio fitxategian, esango diogu, fitxatgegi batetik har ditzala beti baimendutako sareak. Sare horiek izan daitezke irakasleena, zuzendaritzarena, etab.

# ----------- Not Filtered Source Networks -------------
include /etc/squid/iak.nfnets.conf

/etc/squid/iak.nfnets.conf fitxategiaren edukia, holako zerbait izango da:


# ---------- All-Time Allowed Source Networks
# Irakasleak
acl allow NfNets src 172.16.0.0/24

# Zuzendaritza
acl allow NfNets src 172.16.0.0/24

# Gonbidatuak
acl allow NfNets src 172.16.0.0/24


http_access allow NfNets

Orain esan diezaiokegu, ez dezala sekula utzi konektatzera ez-egokiak diren tokietara. Pornoak, deskarga guneak, etab. Esango diegu, /etc/squid/iak.nodoms.conf fitxategiaren edukia har dezala.


# ---------- Internet Access Control ----------

# All-Time Banned Addresses
acl banned url_regex "/etc/squid/iak.nodoms.conf"
http_access deny banned

/etc/squid/iak.nodoms.conf fitxategiaren edukia hau izan daiteke:


megaupload.com

rapidshare.com
gigasize.com
bluehost.to
x7.to
uploaded.to
filefactory.com
freakshare.net
megashares.com
meinupload.com
megarotic.com
macizorras.com
badongo.com
depositfiles.com
easy-share.com
filehostme.com
filer.net
netload.com
minijuegos.com

Orain, edozien nabigatzailerekin beti baimendutako helbideekin goaz. Jaurlaritza, foru aldundien, edo beti interesgarriak diren orriak izan daitezke. Honela adieraziko diogu:


# All-Time Allowed Domains

include /etc/squid/iak.okdoms.conf

/etc/squid/iak.okdoms.conf fitxategiaren edukia hau izan daiteke:


# ---------- All-Time Allowed Domains ----------
acl AlWaysGO dst 212.55.8.132
acl AlWaysGO2 dstdomain .hezkuntza.net
# Eskolako helbide batzuk
acl AlWaysGO dst 82.194.66.176

acl AlWaysGO dst 10.22.3.8
acl AlWaysGO dst 172.31.249.2
acl AlWaysGO dst 172.31.249.3
acl AlWaysGO dst 172.31.249.1
# www.euskadi.net : Euskadi.Net, hezkuntza, Zenbait hiztegi (morris, 3000, Elhuyar...)
acl AlWaysGO dst 194.30.48.1
acl AlWaysGO dst 212.55.29.1
acl AlWaysGO dst 194.30.48.2
acl AlWaysGO dst 212.55.29.2
# parlamento.euskadi.net : Eusko legebiltzarreko administrazioko hiztegia
acl AlWaysGO dst 212.55.31.252
# www.bizkaia.net : Bizkaierazko hiztegia eta diputazioaren web orri nagusia
acl AlWaysGO dst 80.245.0.26
# www.gipuzkoa.net : Gipuzkoako diputazioaren web orri nagusia
acl AlWaysGO dst 82.116.160.2
# www.araba.net, www.alava.net : Arabako diputazioaren web orri nagusia
acl AlWaysGO dst 194.30.32.126
acl AlWaysGO dst 206.251.184.30
# www.hiztegia.net : Zerrenda orokorra
acl AlWaysGO dst 82.194.66.80
acl AlWaysGO2 dstdomain .euskaltzaindia.net
acl AlWaysGO2 dstdomain .hiru.com
acl AlWaysGO2 dstdomain .hizkuntza.tk
acl AlWaysGO2 dstdomain .ehu.es
acl AlWaysGO2 dstdomain .infor.es
acl AlWaysGO2 dstdomain .euskadi.net
acl AlWaysGO2 dstdomain .gestionet.info
acl AlWaysGO2 dstdomain .kaspersky.com
acl AlWaysGO2 dstdomain .microsoft.com

http_access allow AlWaysGO
http_access allow AlWaysGO2

Orain nabigatzaileen txanda da. Irazi ditzan esango diogu squid-i.:

# ---------- Browser Definitions and Access Control ----------
include /etc/squid/iak.brow.conf

/etc/squid/iak.brow.conf edukia honelakoa izan daiteke:

acl OKBrowser browser Firefox
acl OKBrowser browser Opera
acl OKBrowser browser Safari
acl OKBrowser browser Konqueror
acl OKBrowser browser Galeon
acl OKBrowser browser Camino
acl OKBrowser browser Gecko
acl OKBrowser browser Chrome
acl OKBrowser browser Java

http_acces deby !OKBrowser

Ez badugu nabigatzailerik filtratu, hutsirik utziko dugu fitxategia, baina fitxategia egon behar da.

Hemen, atzipen beti baimenduta daukaten ikasgelen edo IP multzoen zerrenda jarriko dugu. Hurrengo hau jarriko dugu squid-en konfigurazio fitxategian:

# ---------- All_Time Allowed Source IP Ranges ----------
include /etc/squid/iak.wipr.conf

/etc/squid/iak.wipr.conf fitxategiaren edukia hinako zerbait izango da:

# ---------- All_Time Allowed Source IP Ranges ----------
# --- Gela Bakarrak ---
acl whiteiprange-01 src 10.22.1.244-10.22.1.239
http_access allow whiteiprange-01

# --- VIP Gelak ---

acl whiteiprange-02 src 10.22.3.16-10.22.3.31
http_access allow whiteiprange-02

Orain ikasgelen kontrola jarriko dugu.

# ---------- Controlled Classrooms ----------
include /etc/squid/iak.room.conf

/etc/squid/iak.room.conf fitxategiaren edukia, holakoa izango da defektuz:


# Student Classrooms
# --- ROOM01 ---
acl room-01 src 172.16.1.16-172.16.1.31
http_access deny room-01
# --- ROOM02 ---
acl room-01 src 172.16.1.32-172.16.1.47
http_access deny room-01
# --- ROOM03 ---
acl room-01 src 172.16.1.48-172.16.1.63
http_access deny room-01
# --- New Room ---
acl room-01 src 172.16.1.64-172.16.1.79
http_access deny room-01
# --- Clean Room ---
acl room-01 src 172.16.1.80-172.16.1.95
http_access deny room-01
# --- Blue Room ---
acl room-01 src 172.16.1.96-172.16.1.111
http_access deny room-01
# --- ROOM110 ---
acl room-01 src 172.16.1.112-172.16.1.127
http_access deny room-01
# --- ROOM200 ---
acl room-01 src 172.16.1.17-128.16.1.143
http_access deny room-01

Behar ditugun beste parametro batzuk:


# ---------- Other Parameters ----------

http_reply_access allow all
forwarded_for off
icp_access allow all
half_closed_clients off

Errorerik egin dugun proba dezagun. Hortarako, konfigurazio fitxategia aztertzeko agintea erabiliko dugu:


    squid -k parse

Ubuntu 12.04 LTS banaketan berriz:

    squid3 -k parse

Dena ongi badago, konfigurazio berria har dezan esango diogu:


    /etc/init.d/squid reload

Ubuntu 12.04 LTS banaketan berriz:

    service squid3 reload

Proxy-a probatu aurretik, eta DMZn dagoenez, atzipena baimendu behar dugu suhesian. Honela geratuko litzateke erregla:

Source

Destination

Service

Action

Irakasleak

Ikasleak

Zuzendaritza

Zerbitzariak

antivirus perimetral

squid (3128)

Accept

Proxy-a probatzeko, nabigatzailearen hobespenak aldatu, eta esan proxy-a duela periometroko antibirusaren IP-an, eta 3128 portuan. Hurrengo atala den "Nabigatzaileak konfiguratzen" ikus dezakezu. Sorte on!

Proba dezagun funtzionamendua. Jar diezaiogu ordenagailu bati 172.16.1.18/24 helbidea. Helbide hau, gela-01 gelako bigarren ordenagailuaren helbidea da. Hurrengo aginte hau egikarituko dugu, eta Internetea atzipena duen egiaztatuko dugu. Ez probatu MSIE nabigatzailearekin ;-) Erabili Azeria. 


    sed -i s/http_access\ deny\ gela-01/http_access\ allow\ gela-01/ /etc/squid/squid.conf
    squid -k reconfigure

Dena ongi? Aurrera!

Arazoak sortzen direnean

ACLekin lan egiten dugunean, sarritan sortzen dira arazoak, eta erregistroak ez digu informazio gehiegirik ematen. Hurrengo parametroak jarri /etc/squid/squid.conf fitxategian, eta berrabiarazi squid. Sorte on!


debug_options ALL,1 33,2

debug_options ALL,1 33,2 28,9

Atzipen Kontrolaren script-a

Ez dugu squid.conf fitxategia zuzenean aldatuko, baizik eta web zerbitzariak egikaritzen duen script exekutagarri baten bitartez. Script honek, erregistro fitxategi bat sortzen du. Fitxategi hontan, nork, noiz, nondik, eta zein nabigatzailekin eman duen aldatze agintea agertuko dira. Fitxategi hau /var/log/iak direktorioan sortuko dugu. Beraz, Apache agikaritzen duen prozesuak idazteko baimenak izan behar ditu direktorio hontan. Hotarako:


    mkdir /var/log/iak
    chown www-data:root /var/log/iak

Orain script-a sortuko dugu. Script-a, atzipen kontrolaren /var/www/iak direktorioan kokatuta dago. Hona hemen iakmanager.php scriptaren kodea:


<?php

//
// LHPAIAK 5.2.0
//

header ("Location: {$_SERVER['HTTP_REFERER']}");

$PROG = "sudo /bin/sed";
$CONF_FILE = "/etc/squid/iak.rooms.conf";

$COMMAND = "sudo /etc/init.d/squid reload";
$COMMAND3 = "sudo /etc/init.d/squid3 reload";
$LOGFILE = "/var/log/iak/iak.log";


$ADDR = $_SERVER ['REMOTE_ADDR'];
$nowdate = date('Y.m.d-H:i');


if (isset($_POST['room']) && isset($_POST['action'])) {

    $room = $_POST['room'];
    $action = $_POST['action'];
    $host = gethostbyaddr($ADDR);
    $user = getenv('REMOTE_USER');

    exec("sudo /bin/echo  $nowdate - $user - $host - $ADDR - $room - $action >> $LOGFILE");

    if ($action == "close") {
        exec("$PROG -i s/http_access\ allow\ $room/http_access\ deny\ $room/ $CONF_FILE");
    }
    else {
        exec("$PROG -i s/http_access\ deny\ $room/http_access\ allow\ $room/ $CONF_FILE");
    }

    if (file_exists('/etc/init.d/squid'))
       exec("$COMMAND");
    else
       exec("$COMMAND3");
}
else {

    exec("sudo /bin/echo  $nowdate - TO_DEFAULT >> $LOGFILE");

# Gela 1 (no closed automagically)
#    exec("$PROG -i s/http_access\ allow\ room-01/http_access\ deny\ room-01/ $CONF_FILE");

# 2. classroom (automagically closed)
    exec("$PROG -i s/http_access\ allow\ room-02/http_access\ deny\ room-02/ $CONF_FILE");

# 3. classroom (automagically closed)
    exec("$PROG -i s/http_access\ allow\ room-03/http_access\ deny\ room-03/ $CONF_FILE");

# No closed room
#    exec("$PROG -i s/http_access\ allow\ room-04/http_access\ deny\ room-04/ $CONF_FILE");

# No closed room
#    exec("$PROG -i s/http_access\ allow\ room-05/http_access\ deny\ room-05/ $CONF_FILE");

# Closed room
    exec("$PROG -i s/http_access\ allow\ room-06/http_access\ deny\ room-06/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-07/http_access\ deny\ room-07/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-08/http_access\ deny\ room-08/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-09/http_access\ deny\ room-09/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-10/http_access\ deny\ room-10/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-11/http_access\ deny\ room-11/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-12/http_access\ deny\ room-12/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-13/http_access\ deny\ room-13/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-14/http_access\ deny\ room-14/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-15/http_access\ deny\ room-15/ $CONF_FILE");

#
    exec("$PROG -i s/http_access\ allow\ room-16/http_access\ deny\ room-16/ $CONF_FILE");


    if (file_exists('/etc/init.d/squid'))
       exec("$COMMAND");
    else
       exec("$COMMAND3");
}
?>

On egin!

Web orria

Orain, web orri bat egingo dugu. Web zerbitzariaren iak direktorioan jarriko dugu. Debian banaketan /var/www/iak/. Sor dezagun direktorio hau.


    
mkdir /var/www/iak

Web orriaren izena iak.php izango da. Hemen duzu adibide bat 8 gelarekin:


<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<!--
//
// LHIAK 5.2.0
//
-->
<head>
  <title>nire-eskola.net :: Internet Atzipen Kontrola</title>
  <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<style type="text/css">
label {
display: block;
min-height: 100%; /* NO IE */
height: auto !important; /* IE8 ... */
height: 100%; /* IE6 */
}
</style>
</head>
<body leftmargin="0" topmargin="0" style="background-color: #e0f0fb;">

<?php
$room = 0;

$iakroomsconffile = file("/etc/squid/iak.rooms.conf");
foreach ($iakroomsconffile as $line => $text){
    $pos1 = strpos($text, 'http_access');
    $pos2 = strpos($text, 'room');
    if ($pos1 === 0 and $pos2 > 0){
        $access = split(" ", $text);
        if (trim($access[1]) === "allow"){
            $state[$room++] = "1";
        }
        else{
            $state[$room++] = "0";
        }
    }
    else {
    }
}
?>

<div style="text-align: center;"><img alt="" src="goikoikurra-web.png"><br>
</div>
<div style="text-align: center;"><big style="text-decoration: underline; font-weight: bold;"><big><big>
Internet Atzipen Kontrola</big></big></big><br>
</div>
<br>
<form style="margin-top: 22px; height: 222px;" method="post" action="iakmanager.php" name="aukerak">
  <table style="text-align: left; margin-left: auto; margin-right: auto; width: 533px; height: 198px; background-color: rgb(255, 255, 255);" align="center" border="0">
    <tbody>
      <tr>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (isset($state[0]) && ($state[0] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
        <label for="room-01>&nbsp;&nbsp;<input name="room" value="room-01" id="room-01" type="radio">&nbsp;Gela-01</label>
        </td>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[1]) && ($state[1] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-02>&nbsp;&nbsp;<input name="room" value="room-02" id="room-02" type="radio">&nbsp;Gela-02</label>
        </td>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[2]) && ($state[2] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-03>&nbsp;&nbsp;<input name="room" value="room-03" id="room-03" type="radio">&nbsp;Gela-03</label>
        </td>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[3]) && ($state[3] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-04>&nbsp;&nbsp;<input name="room" value="room-04" id="room-04" type="radio">&nbsp;Gela-04</label>
        </td>
      </tr>
      <tr>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[4]) && ($state[4] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-05>&nbsp;&nbsp;<input name="room" value="room-05" id="room-05" type="radio">&nbsp;Gela-05</label>
        </td>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[5]) && ($state[5] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-06>&nbsp;&nbsp;<input name="room" value="room-06" id="room-06" type="radio">&nbsp;Gela-06</label>
        </td>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[6]) && ($state[6] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-07>&nbsp;&nbsp;<input name="room" value="room-07" id="room-07" type="radio">&nbsp;Gela-07<b/labelr>
        </td>
        <td style="color: rgb(0, 0, 0); background-color: <?php if (
isset($state[7]) && ($state[7] == "1")) { echo 'rgb(102, 255, 102)';} else {echo 'rgb(255, 102, 102)';} ?>; text-align: left;">
       
<label for="room-08>&nbsp;&nbsp;<input name="room" value="room-08" id="room-08" type="radio">&nbsp;Gela-08</label>
        </td>
      </tr>
      <tr>
        <td style="color: rgb(255, 255, 255); background-color: rgb(255, 102, 102);">
&nbsp;
        </td>
        <td colspan="2" style="color: rgb(255, 255, 255); background-color: rgb(255, 102, 102);" align="center">
        <input name="action" value="open" type="radio">Ireki
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
        <input name="action" value="close" type="radio">Itxi
        </td>
        <td style="color: rgb(255, 255, 255); background-color: rgb(255, 102, 102);">
        </td>
      </tr>
      <tr>
        <td colspan="4" rowspan="1" style="color: rgb(255, 255, 255); background-color: rgb(255, 102, 102); text-align: center;">
        <input value=" Bidali " type="submit"></td>
      </tr>
    </tbody>
  </table>
</form>
<div style="text-align: center;"><img alt="" src="behekoikurra-web.png"><br>
</div>
</body>
</html>

Web zerbitzaria root bezala

Normalean, web zerbitzaria izango da, eta es root, script-a egikarituko duena. Bestalde, root baimenak behar dira squid prozesua kudeatzeko. Arazoa konpontzeko, root baimenak emango dizkiogu web zerbitzaria egikaritzen duen erabiltzaileari. Kasu honetan www-data. Soilik egikarituko behar ditu bi aginte.  Hortarako sudo agintea erabiliko dugu. sudo agintea /etc/sudoers fitxategian konfiguratzen da, eta baita /etc/sudoers.d/ direktorioan  jartzen diren fitxategietan. iak-sudoers fitxategia jarriko dugu direktorio honetan, eta horrela ez dugu ukitu behar /etc/sudoers fitxategia. Hona hemen bere edukia:


# User alias specification
User_Alias IAK = www-data

# Cmnd alias specification
Cmnd_Alias IAKCOMMANDS = /etc/init.d/squid reload, /etc/init.d/squid3 reload, /bin/sed

# User privilege specification
IAK ALL = (root) NOPASSWD: IAKCOMMANDS

Como se puede ver, no va a pedir contraseña. Listo!

Autentifikazioa

Web orri hontan soilik sartu ahal izan behar da irakasle, zuzendaritza eta sareko azpisareetatik. Honez gain, soilik sartu behar dira irakasleak. Irakasleen autentifikazioa hiru eratara egin dezakegu. Lehenengoa, fitxategi baten aurka. Bigarrena, MS Active Directory-ren aurka eta hirugarrena OpenLDAP direktorio baten aurka.

Fitxategi baten aurka

Fitxategi baten aurka autentifikatzeko irakasleak, Apache konfiguratu behar dugu. /etc/apache2/conf.d/ direktorioan, iak.conf fitxategian, hurrengo hau jarriko dugu:


ServerAdmin webadmin@nire-eskola.net

<Directory /var/www/iak/>
    Order deny,allow
    Deny from all
    AllowOverride AuthConfig Limit
    Allow from 127.0.0.1 172.16.0 172.16.2 172.16.3
    AuthType Basic
    AuthName "Internet Atzipen Kontrola. Pasahitza behar duzu sartu"
    AuthUserFile "/var/lib/apache2/iak.pass"
    Require valid-user
</Directory>

Orain, erabiltzaileak eta pasahitzak sortu behar ditugu /var/lib/apache2/iak.pass fitxategian. 8 irakasle aukeratuko ditugu, eta baimendu egingo ditugu. Pasahitza eskatuko digu, eta lehenengo erabiltzailearekin -c parametroa jarri behar dugu, fitxategia sor dezan. Hurrengo aginteak egikaritu:


    htpasswd2 -c /var/lib/apache2/iak.pass irakasle1
    htpasswd2 /var/lib/apache2/iak.pass irakasle2
    htpasswd2 /var/lib/apache2/iak.pass irakasle3
    htpasswd2 /var/lib/apache2/iak.pass irakasle4
    htpasswd2 /var/lib/apache2/iak.pass irakasle5
    htpasswd2 /var/lib/apache2/iak.pass irakasle6
    htpasswd2 /var/lib/apache2/iak.pass irakasle7
    htpasswd2 /var/lib/apache2/iak.pass irakasle8

Erabiltzailea ezabatu nahi badugu ordez, -D parametroa emango diogu.

Orain, apache egikaritzen duen prozesuak irakur ahal dezan, ugazaba aldatuko diogu:


    chown www-data:root /var/lib/apache2/iak.pass

Azkenik, Apacheren konfigurazioa birkargatuko dugu.


    /etc/init.d/apache2 reload

MS-en Active dIrectory-ren aurka

Gauza bera egin dezakegu Active Directory badaukagu. Kontutan izan beharko dugu, nola Active Directory-n, irakasleak gain, ikasleak ere eduki ditzakegu.

Lehenengo, Apache-ren modulu bi gaitu behar ditugu. Hona hemen nola:


    a2enmod ldap
    a2enmod authnz_ldap

Hona hemen /etc/apache2/conf.d/iak fitxategiaren edukia:


<Directory "/var/www/iak/">
    Options -Indexes
    AllowOverride AuthConfig Limit
    Order deny,allow
    Deny from all
    Allow from 127.0.0.1 172.16.0 172.16.2 172.16.3

    AuthName " INTERNET ATZIPEN KONTROLA "
    AuthType Basic
    AuthBasicProvider ldap
    AuthzLDAPAuthoritative off

    AuthLDAPUrl "ldap://SERVER.nire-eskola.net:389/ou=irakasleak,dc=nire-eskola,dc=net?sAMAccountName?sub?(objectClass=*)"

    AuthLDAPBindDN "cn=IAKBind,cn=Users,dc=nire-eskola,dc=net"
    AuthLDAPBindPassword nire-pasahitz-izkutua

    Require valid-user
</Directory>

Hona hemen LDAP-i dagozkion parametroen azalpen txiki bat:

Parametroa Azalpena
AuthBasicProvider Nork ematen duen autentifikazioa
AuthzLDAPAuthoritative Baimentzeko orduan, azkenengo hitza LDAP moduluak duen ala ez
AuthLDAPUrl Nondik bilatzen den irakasleen informazioa
ldap Erabiltzen den protokoloa
SERVER Zerbitzariaren DNS izena
nire-eskola.net Zerbitzariaren DNS domeinua
389 LDAP protokoloaren TCP portua
irakaslek "irakasleak" antolaketa unitatea
nire-eskola.net LDAP zuhaitzaren domeinu zatiak
sAMAccountName AD-n, erabiltzaile izena metatzeko erabiltzen del ezaugarriaren izena
sub Bilaketa sakonera: azpiko maila guztiak
objectClass=* Objetu moten iruzkina: Denak
AuthLDAPBindDN LDAP direktorioan bilaketa egiten duen erabiltzailea (Beharrezkoa AD-n)
cn Izen arrunta (Common Name)
IAKBind Erabiltzailearen izena
Users Defektuz, AD-n erabiltzaile guztiak kontenedore hontan daude
AuthLDAPBindPassword Bilaketa egiten duen erabiltzailearen pasahitza

Arazotxo bat dago Linux-en LDAP eta AD-ren artean. Konpontzeko, hurrengo lerroa jarriko dugu /etc/ldap/ldap.conf fitxategian:

REFERRALS off

Orain, Apacheren  konfigurazioa birkargatuko dugu.

    /etc/init.d/apache2 reload

OHARRA: Ahaztu gabe! Antibirusetik irakasleen erabiltzaile kontuak dituen zerbitzarira eginiko konexioentzat, ireki behar duzue suhesian 389 portua.

OpenLDAP-en aurka

Active Directory LDAP direktorioa bezala, OpenLDAP erabil dezakegu autentifikazioa egiteko.

Lehenengo, eta ADren kasuak bezala, Apache-ren modulu bi gaitu behar ditugu:


    a2enmod ldap
    a2enmod authnz_ldap

Hona hemen /etc/apache2/conf.d/iak fitxategiaren edukia:


<Directory "/var/www/iak/">
    Options -Indexes
    AllowOverride AuthConfig Limit
    Order deny,allow
    Deny from all
    Allow from from 127.0.0.1 172.16.0 172.16.2 172.16.3

    AuthName " INTERNET ATZIPEN KONTROLA "
    AuthType Basic
    AuthBasicProvider ldap

    AuthLDAPUrl "ldap://SERVER.nire-eskola.net:389/ou=irakasleak,dc=nire-eskola,dc=net

    AuthLDAPBindDN "cn=IAKBind,dc=nire-eskola,dc=net"
    AuthLDAPBindPassword nire-pasahitz-izkutua

    Require valid-user
</Directory>

Debian Squeeze banaketaren kasuan, hurrengo lerroa honela geratu behar da:

    Require ldap-valid-user

Hona hemen OpenLDAP-en LDAP-ari dagozkion parametroen azalpen txiki bat:

Par�metro Explicaci�n
AuthBasicProvider Nork ematen duen autentifikazioa
AuthzLDAPAuthoritative Baimentzeko orduan, azkenengo hitza LDAP moduluak duen ala ez
AuthLDAPUrl Nondik bilatzen den irakasleen informazioa
ldap Erabiltzen den protokoloa
SERVER Zerbitzariaren DNS izena
nire-eskola.net Zerbitzariaren DNS domeinua
389 LDAP protokoloaren TCP portua
irakaslek "irakasleak" antolaketa unitatea
nire-eskola.net LDAP zuhaitzaren domeinu zatiak
AuthLDAPBindDN LDAP direktorioan bilaketa egiten duen erabiltzailea
cn Izen arrunta (Common Name)
IAKBind Erabiltzailearen izena
AuthLDAPBindPassword Bilaketa egiten duen erabiltzailearen pasahitza

Orain, Apacheren  konfigurazioa birkargatuko dugu.

    /etc/init.d/apache2 reload

OHARRA: Ahaztu gabe! Antibirusetik irakasleen erabiltzaile kontuak dituen zerbitzarira eginiko konexioentzat, ireki behar duzue suhesian 389 portua.

Log fitxategia

Lehen aipatu denez, erregistro fitxategia /var/log/iak/iak.log da. Gehiegi has ez dadin, biratu egingo dugu. Hortarako /etc/logrotate.d/iak sortuko dugu hurrengo edukiarekin:


/var/log/iak/iak.log {
    weekly
    missingok
    rotate 12
    compress
    delaycompress
    notifempty
    create 640 www-data www-data
    sharedscripts
}

Konfigurazio automatikoa

Goizean eta arratsaldean, klaseak bukatu ondoren, defektuzko konfigurazioa jarriko dugu atzipen kontrolean. Automatikoki egingodugu, cron bidez. Lan hau aginduko diogu egunero 15:30 eta 23:30 etan. Horretarako, kudeatu.php fitxategtia egikarituko du defektuz parametroarekin. Gure adibidean, klase guztiak itxiko ditu. Hortarako, /etc/cron.d/iak fitxategi bat sortuko dugu eduki honekin:


30 15,23 * * * www-data php5 /var/www/iak/kudeatu.php defektuz

Azkenik, cron prozesua berrabiaraziko dugu.

    /etc/init.d/cron restart

Proba dezagun ba aplikazioa. Hurrengo helbidea sartu nabigatzailean eta probatu.


http://iak.nire-eskola.net/iak/iak.php

Sorte on!