Basic_pam_auth ajutor pentru autentificarea utilizatorilor Active Directory printr-un link PAM cu SSSD
Proxy-ul Squid are un număr de programe auxiliare care oferă diferite mecanisme de autentificare. În cele mai multe cazuri, utilizați ajutoare pentru a se asigura metode de autentificare sigure, cum ar fi ntlm_auth sau negotiate_kerberos_auth. deoarece acești ajutoare vă permit să protejați acreditările de rețea ale utilizatorilor autentificați. Cu toate acestea, în orice infrastructură IT, există unele aplicații care obligă administratorii să includă suport suplimentar pentru autentificarea de bază pe Squid. Nu numai că Basic-autentificarea în sine este o modalitate sigură de autentificare, deoarece acreditările autentificate pe utilizator proxy sunt transmise prin rețea în text clar, cu atât mai mult și majoritatea ajutor de baza autentificării disponibile cu Squid, vă rugăm să vă conectați la un sistem de stocare la distanță de contabilitate datele utilizează protocoale neprotejate.
De exemplu, helper basic_ldap_auth considerat anterior de noi. vă permite să vă conectați la controlerele de domeniu Active Directory pentru a autentifica utilizatorii la un proxy și o face printr-o conexiune LDAP deschisă, neprotejată. Aceasta înseamnă că acreditările utilizatorului domeniului de servicii care sunt utilizate de către ajutor pentru a se conecta la directorul LDAP sunt transmise prin rețea în text clar.
În loc de helper basic_ldap_auth. Pentru autentificarea de bază într-un domeniu Active Directory, putem folosi ajutorul basic_pam_auth. care, împreună cu serviciul personalizat sssd de pe serverul proxy Squid, ne va permite să excludem o astfel de etapă ca transferul acreditărilor în vederea clară pentru a vă conecta la directorul Active Directory.
Pentru a folosi ajutor basic_pam_auth în configurația de mai jos, presupune că serviciul sssd este deja instalat și configurat pe serverul Squid. iar serverul este conectat la domeniul Active Directory. Setarea din exemplul nostru rulează pe Debian 8 (Jessie). Un exemplu de astfel de configurare este descris în Conectarea Debian GNU / Linux 8.6 la un domeniu Active Directory care utilizează SSSD și realmd.
Deci, hai să creăm o politică PAM separată pe serverul Squid. cu care va funcționa helperul basic_pam_auth. Această politică va apela biblioteca pam_sss.so pentru autentificarea utilizatorilor:
Acum, să vedem ce parametri poate avea suportul basic_pam_auth.
Nu există mulți parametri:
Testează munca helperului apelând-o cu parametrul de tăiere a părții de domeniu (-r) și specificând numele politicii PAM create (-n)
După executarea comenzii, trimitem un ajutor și o parolă (prin intermediul unui spațiu). Procedând astfel, verificăm răspunsul ajutorului la diferite formate pentru acordarea unui nume de utilizator.
După cum puteți vedea, ajutorul se ocupă de sarcina sa - verificarea acreditărilor de utilizator furnizate în domeniul Active Directory.
Adăugăm configurația apelului pentru ajutor la squid.conf.
Verificăm rezultatul în browser-ul clientului.
În ciuda faptului că numele de utilizator de test în formatul «KOM \ Chapaev-vi» lucra cu succes în practică din browser-ul clientului la numele ajutor vine în formatul «KOM \\ Chapaev-vi» și ajutor nu se poate ocupa în mod corect. Prin urmare, o soluție simplă la această problemă este utilizarea de nume scurt al unui client «Chapaev-VI», sau cu partea completă a domeniului «[email protected]» (poate fi necesară într-o infrastructură cu mai multe domenii).