FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

SquidプロキシでDigest認証

SquidプロキシでDigest認証


前回 は Squid で Basic認証を行いましたが、それだとネットワークを流れる通信は BASE64 でエンコードされるだけなので、キャプチャされれば簡単に復号されパスワードがバレてしまいます。
そこで今回はネットワークを流れるパスワードを暗号化できるDigest認証を設定してみます。


環境は前回と同じで、Squidはインストール済みとします。

# cat /etc/redhat-release
Scientific Linux release 6.1 (Carbon)

# rpm -qa squid
squid-3.1.10-1.el6_2.1.x86_64


ではここから設定を行います。

パスワードファイルを作成します。(パスワードのハッシュ化はせずにplaintextで保存すること)
# htpasswd -bcp /etc/squid/passwd user01 password

設定ファイルを編集します。
# vi /etc/squid/squid.conf
auth_param digest program /usr/lib64/squid/digest_pw_auth /etc/squid/passwd
auth_param digest children 20 startup=0 idle=1
auth_param digest realm Mattari SE
auth_param digest nonce_garbage_interval 5 minutes
auth_param digest nonce_max_duration 30 minutes
auth_param digest nonce_max_count 50

acl mattarise proxy_auth REQUIRED
http_access allow mattarise

サービスを再起動します。
# service squid restart

Webブラウザにプロキシの設定を行い、適当なページを開くと認証画面が表示されるようになります。
さきほど設定したユーザー名とパスワードを入力します。
ユーザから見ればBasic認証と何ら違いはありませんが、通信経路上のパスワードは暗号化され安全になっています。
proxyauth_firefox2a.png


パスワードファイルについて
Basic認証のときは、パスワードファイルのパスワードハッシュ化を指定しなかった為、CRYPTで暗号化されて
いましたが、今回はplaintextを指定しました。
これはDigest認証のときはハッシュ化されたパスワードファイルを使うことができないからです。

パスワードファイルのハッシュアルゴリズムには CRYPT/MD5/SHA などがあります。

プレーンテキストでパスワードを保存
# htpasswd -bp passwd user_plain password

MD5でパスワードを保存
# htpasswd -bm passwd user_md5 password

SHAでパスワードを保存
# htpasswd -bs passwd user_sha password

CRYPTでパスワードを保存
# htpasswd -bd passwd user_crypt password

パスワードファイルの中身を表示してみると、それぞれ指定されたハッシュアルゴリズムでパスワードが
保存されていることが分かります。
# cat passwd
user_plain:password
user_md5:$apr1$/waWhqkm$fKCO51ooSPiJDqv2VBvqS/
user_sha:{SHA}W6ph5Mm5Pz8GgiULbPgzG37mj9g=
user_crypt:fuNA9szthqt2k

今回の環境で検証してみたところ、
Digest認証の場合、パスワードファイルで使えるのは
PLAIN TEXT ○
MD5 ×
SHA ×
CRYPT ×

Basic認証の場合、パスワードファイルで使えるのは
PLAIN TEXT ×
MD5 ○
SHA ×
CRYPT ○

という結果になりました。
スポンサーサイト

トラックバック


この記事にトラックバックする(FC2ブログユーザー)

proxyサーバ squidでアクセス時に認証を要求する設定

CentOS6 64bitでのProxyサーバ squidで、digest認証/basic認証でユーザ名/パスワードを要求するようにする設定ファイルです。 basic認証、digest認証それぞれの場合の squid.conf です。 違いは先頭の a...

コメントの投稿

非公開コメント









上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。