このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/16(Mon) 13:22
名前: 初心者
URL:
はじめまして

Centosのリバースプロキシについて教えていただけますでしょうか。

社内のWebサーバに対して、DMZ上にリバースプロキシを構築し
外部から認証がOKのものだけ、社内Webサーバを表示させるようにしたいと考えています。

認証なしのリバースプロキシであれば、apacheやnginxで確認は取れました。

しかし、認証のリバースプロキシの場合の設定がわかりませんでした。

外部→→DMZ上のリバースプロキシ→→社内のWebサーバの場合、
選択するソフトはapacheでもnginxでもsquidでも問題ないでしょうか。

また、認証について、要望としては社内のADのユーザ(グループ)で認証したいと
いわれています。

この場合は、認証プロキシとしては、LDAP認証でADにつなげに行く形になりますでしょうか。

すみませんが、サンプル等がございましたらご教示いただけないでしょうか。
記事編集 編集
Re: centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/17(Tue) 06:03
名前: stranger
URL:
ApacheからKerberos認証でADユーザを利用する
https://tanyaolinux.blogspot.com/2012/02/apachekerberosad.html

参考例は sambaで ADを利用するんですが
最近のcentOS(RHEL,Fedora)はKerberosの問題があってAD-DCを有効にしていない
最近のsambaソースでは
--with-experimental-mit-ad-dc
オプションを付けてconfigure, makeをする必要がある
gnutlsが古いとconfigure, makeに失敗する
場合によっては p11-kit → nettle → gnutls → samba と再構築する必要があります
centos 6,7,8のsrc.rpmから再構築するほうが早いかも
(centosパッケージのソース http://vault.centos.org/

sambaのデフォルトのAD-DCはheimdalなんですが
設定例がよくわかりません

追記 2020.03.18
CentOS6,CentOS7のhttpdを使っているならmod_auth_kerbをyumで入れられます
記事編集 編集
Re: centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/19(Thu) 09:14
名前: 初心者
URL:
strangerさま

回答ありがとうございます

Kerberosの場合、dmz上のリバプロがドメインに参加したのと
ほぼ同等となり、リスクとなる可能性はないでしょうか?
認証で使用する以外のいろいろなadユーザやコンピューター情報が
検索できたりする?


この辺りのリスクに関して知識がなく、
どのような方向性で進めてよいか
わからないため、質問させていただきました

教えていただいた内容でセキユリテイ的に問題にならないのであれば、
試してみたいとおもってます
記事編集 編集
Re: centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/19(Thu) 16:45
名前: stranger
URL:
ActiveDirectoryの認証を使うという設定だから
ActiveDirectoryでどの認証を使っているか確認して下さい
それに合わせるしかないと思う
ActiveDirectoryの管理がずぼらだったらスカスカになると思うけど

解ったら
ActiveDirectory apache Kerberos認証
ActiveDirectory apache ダイジェスト認証
ActiveDirectory apache NTLM認証
ActiveDirectory apache LDAP
ActiveDirectory apache BASIC認証
等で検索すればいろいろあると思います

ActiveDirectoryの専門家ではないので詳しくはわかりません
記事編集 編集
Re: centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/19(Thu) 19:45
名前: superweibu
URL:
こんにちは

DMZで内部に入る方法はやめるべきです。
その構成はDMZの意味をなさないとおもいますよ。
最悪内部に侵入さます。
セキュリティのインシデントとなることは避けるべきです。

いくら他社員から要望が多いとはいえ
リスクマネジメントを軽視するべきではありません。
記事編集 編集
Re: centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/20(Fri) 10:45
名前: stranger
URL:
DMZないの操作だから
ローカルのADユーザのパスワードを流用スべきじゃないですね
記事編集 編集
Re: centosでリバースプロキシ+AD認証 このメッセージに返信する
日時: 2020/03/23(Mon) 13:59
名前: 初心者
URL:
strangerさま、superweibu さま

ご意見ありがとうございます。
やはりセキュリティ上のリスクがあるということで、
今回は別案を検討したいと思います。

ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -