Autenticazione con identd
January 12th, 2010
Oggi affrontiamo una piccola modifica al post sulla configurazione di un proxy in maniera leggermente differente. Anzichè autenticare gli utenti contro l’active directory, proviamo a “fidarci” dei client windows, e verifichiamo l’identità dell’utente in un altro modo.
Anzichè utilizzare squid per l’autenticazione contro il server LDAP, istruiamo dansguardian per richiedere alla macchina client l’utente attualmente loggato sulla macchina.
Per fare ciò, necessitiamo di un servizio sulla macchina client che implementi le specifiche dell’RFC 1413, chiamato ident. Per windows esiste il progetto identdwin , che ci fornisce un applicativo pressochè invisibile che installato sulla macchina si registra come servizio (ovviamente l’installazione va fatta da utente amministratore) e si avvia automaticamente ad ogni avvio di macchina. Dovet permettere ad un eventuale firewall installato (senza dimenticarsi di quello di windows) per accettare le connessioni entranti dirette alla porta 113.
Possiamo verificare il corretto funzionamento del servizio telnettiamoci al servizio:
$ telnet
22, 3216 Al quale il client risponderà con qualcosa tipo:
22 , 3216 : USERID : WINDOWS :utente Se tutto funge siamo a posto.
Ora basta configurare dansguardian per utilizzare il plugin ident, cosa che facciamo decommentando la riga:
authplugin = ’/etc/dansguardian/authplugins/ident.conf’ A differenza dell’installazione con squid come agente di autenticazione, ora utilizziamo solo dansguardian e un’istanza di squid per fare cache. Dobbiamo quindi ricordarci di permettere le connessioni dei client direttamente a dansguardian, ricordandoci di modificare l’instanza filterip ed eventualmente filterport se vogliamo tenere il classico 3128 per come avevamo già configurato i client.
Lo schema attuale del sistema è così strutturato:
Buon filtraggio!
Enrico Carlesso
Leave a Reply