У меня на шлюзе запущен squid, и я пытаюсь интегрировать его с Active Directory для аутентификации.
Я могу выполнить аутентификацию, используя ldap_auth и имея это в squid.conf.
/ usr / lib / squid / ldap_auth -b OU = my, DC = company, DC = com -h ldapserver -f sAMAccountName =% s -D "CN = myadmin, OU = Unrestricted Users, OU = my, DC = company, DC = com "-w mypwd
Однако меня беспокоит тот факт, что у меня есть пароль администратора в открытом виде в squid.conf.
Как я могу этого избежать?
Squid работает на машине debian.
Ты можешь chmod Файл конфигурации squid должен быть примерно 600. Таким образом, он будет доступен для чтения и записи только пользователю-владельцу, например proxy пользователь. Но вы должны обязательно запустить процесс squid как proxy пользователь, чтобы иметь возможность читать файл конфигурации. Так только системный администратор root сможет прочитать ваш конфигурационный файл squid.
Пожалуйста, используйте -W вариант файла вместо -w вариант. Это позволит вам указать файл, в котором находится пароль. Если вы запустите squid в соответствии с вашим примером и выполните команду ps -ax, вы увидите пароль -w в средстве просмотра процессов. Любой пользователь сможет увидеть пароль.
Защитите файл с правильными разрешениями, например 400, и измените владельца на пользователя процесса squid.
Во-вторых, вам нужен только пользователь, который может запрашивать Active Directory, у этого пользователя не должно быть прав администратора.