作成日：2004年12月11日
最終更新日：2004年12月20日

LDAP認証

【Squid Homeへ】

通常ではＰｒｏｘｙにユーザ認証を行うような運用は少ないと思いますが、セキュリティを心配する企業や学校などでは、内部のProxyを利用する際に、ユーザ側にIDによる認証を求める運用を行うケースもあります。　大規模な組織では、ユーザ管理やユーザ情報の一元化の為にLDAPサーバを既に構築している場合も有ることでしょう。　

Squid には、LDAPを使った認証プログラムが用意されており、これを使ってSquidを利用できるユーザの認証を行うことが可能になっています。これによりユーザ情報自体はSquidと別のサーバに持たせた運用形態になるため、セキュリティ的にも安全性が高める事が可能になります。

SquidからLDAPを使う方法には、バージョンによって使うモジュールが違うようですが、Squid2.5以降にはベーシック認証と同じ場所にLDAP認証に関するモジュールとして、"ldap_auth"と"squid_ldap_group"が存在する筈です。

更にSquidをPAMの使えるOSで起動する場合、PAMを経由してLDAPへのアクセス方法も考えられますが、この方法はLDAPというよりPAMの説明になるため、本資料には記述しませんのであしからず。（PAM認証で記述する予定です）

１．想定する環境

次の図のように、LDAPサーバが存在する環境に Proxy として Squid を構築し、ユーザ認証として LDAP を使った認証によって Proxy をクライアントから使えるようにします。

ユーザがクライアントからHTTPをリクエスト（①）し、それをSquidが受け取ると最初にユーザ認証が働きます。　クライアントに表示された認証ダイアログボックスでユーザIDとパスワードを入力（②）すると、SquidはこれをLDAPサーバに問い合わせ（③）て、ユーザが実際にLDAPサーバ上に存在するなら、リクエストされたHTTPを実際のリクエスト先のWebサーバへと送ります。（④）

２．ldap_authを使ったLDAP認証

ldap_authを使った認証は、認証サーバとしてLDAPを使っている事以外は設定箇所を含めて、ベーシック認証と同じ方法になります。
つまり、ユーザIDとパスワードをクリアテキストでSquidで渡すと、これをSquidはLDAPサーバに問い合わせる訳です。（LDAPパケットは暗号化されてない事に注意してください）

（設定内容）

squid.confでauth_paramでベーシック認証プログラムとして、ldap_authを使うように構成して下さい。

例:

auth_param basic program /usr/lib/squid/ldap_auth -b "dc=robata,dc=org" -f "(&(uid=%s)(objectClass=posixAccount))" ldap-server.robata.org
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

proxy_authを使ったACLエントリのを作成：

acl foo proxy_auth REQUIRED
acl localnet src 192.168.1.0/255.255.255.0
http_access allow localnet foo

上記の設定を行う事で、LDAPサーバ（ldap-server.robata.org）からベース識別名が"dc=robata,dc=org"に属するユーザを検索するようになります。　この時、-fオプションでLDAPサーバから検索するオブジェクトクラスとして一般的な"posixAccount"の情報にある「uid」を使うようにしています。　（このあたりの詳しい意味についてはLDAPの解説書をご覧くださ）

【Squid Homeへ】