最新記事

カテゴリ

全記事(数)表示

全タイトルを表示

リンク

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

関連記事一覧

読み込み中


カテゴリ「スポンサー広告」の記事一覧

プロキシサーバ(squid)にてユーザ認証(NTLM認証)を行う方法

プロキシサーバ(squid)上でWindows統合認証(NTLM認証)を行う方法について記載します。

これにより、ActiveDirectoryアカウントを所有していない場合には、WEBの利用が出来なくなります。

NTLM認証なので、ドメインユーザの場合にはSSO(シングルサインオン)です。

 

作業手順

実際の大きな作業手順は以下になります。

1.サーバをドメインへ参加

2.Squidの設定

 

1.サーバをドメインへ参加

省略します。LinuxサーバをWindowsのActiveDirectoryに参加させる方法 を参照して下さい。

 

2.Squidの設定

/etc/squid/squid.confを修正します。

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

(略)

acl password proxy_auth REQUIRED
http_access allow password

 

※注意
Squidのバージョンで使用できないオプションがあるので注意。
オリジナルのSquid.confを参照すること。

 

確認

プロキシサーバへアクセスした際に、認証ダイヤログが表示後、認証がクリアされればオッケー。

SSOの場合には表示されません。Squidのログ内にユーザ名が入っていればOKです。

 

注意!
NTLM認証化を行うと、認証を行っていない環境に比べて幾つかのトラブルが発生します。
基本的にIEやFireFoxなどのブラウザを介してのアクセスは問題ありませんが、
独自のアプリケーション(javaなど)からプロキシを介してインターネットへアクセスしようとした際に、
独自のアプリケーションがNTLM認証に対応していないと、エラーとなり、アクセスできません。

具体的に私が把握している限りでは、
・WindowsUpdateサイト
・駅すぱあと
・Microsoft アクティベーション
・Microsoft Officeアクティベーション
・Verisignアクティベーション
・Macintosh アップデート
・Adobe update
・IE7 Fishing機能
・各種ウイルスソフトのアップデート
 → Live OneCare、McAfee、ウイルスバスター、ノートンアンチウイルス等、、、
・JAVA アップデート
・Linux yumコマンド

などなど、かなりたくさんのアプリが利用できません。

 

これでは困るという場合があります。

そこで、そういう場合にはNTLM認証で失敗した際に、Basic認証を行う様にします。

 

/etc/squid/squid.confを修正します。

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Basic Auth
auth_param basic credentialsttl 2 hours


(略)

acl password proxy_auth REQUIRED
http_access allow password

 

注意!
NTLM認証の際には、パスワードは暗号化されているので保護されますが、
Basic認証の際はパスワードが平文でながれてしまいます。
セキュリティ的にBasic認証が問題な場合には使用しないほうがよいでしょう。
とくにActiveDirectoryユーザパスワードは再重要パスワードですよ!

 

また、NTLM認証ではドメインユーザの場合だとSSO(シングルサインオン)ですが、Basic認証の場合にはSSOにはなりません。

 

以上。

スポンサーサイト

関連記事一覧

読み込み中

タグ : Squid


カテゴリ「Squid」の記事一覧

前の記事≫Windowsのhostsファイルの場所
次の記事≫echoコマンドで改行する方法


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。