6.2. LDAP 인증을 사용하여 캐싱 프록시로 Squid 설정

프로세스

1. squid 패키지를 설치합니다.

   # yum install squid

2. /etc/squid/squid.conf 파일을 편집합니다.

   1. basic_ldap_auth 도우미 유틸리티를 구성하려면 /etc/squid/squid.conf 상단에 다음 구성 항목을 추가합니다.

      auth_param basic program /usr/lib64/squid/basic_ldap_auth -b "cn=users,cn=accounts,dc=example,dc=com" -D "uid=proxy_user,cn=users,cn=accounts,dc=example,dc=com" -W /etc/squid/ldap_password -f "(&(objectClass=person)(uid=%s))" -ZZ -H ldap://ldap_server.example.com:389

      다음은 위 예제의 basic_ldap_auth 도우미 유틸리티에 전달된 매개변수를 설명합니다.

      • -b base_DN 은 LDAP 검색 기반을 설정합니다.
      • -d proxy_service_user_DN 은 디렉터리에서 인증 사용자를 검색하는 데 사용하는 계정 ID(DN)를 설정합니다.
      • -W path_to_password_file 은 프록시 서비스 사용자의 암호가 포함된 파일의 경로를 설정합니다. 암호 파일을 사용하면 운영 체제의 프로세스 목록에 암호가 표시되지 않습니다.

      • -F LDAP_filter 는 LDAP 검색 필터를 지정합니다. squid는 %s 변수를 인증 사용자가 제공한 사용자 이름으로 교체합니다.

        예제의 (&(objectClass=person)(uid=%s)(uid=%s) 필터는 사용자 이름이 uid 속성에 설정된 값과 일치해야 하고 디렉터리 항목에 person 오브젝트 클래스가 포함되어 있어야 함을 정의합니다.

      • -ZZ 는 STARTTLS 명령을 사용하여 LDAP 프로토콜에 TLS 암호화 연결을 적용합니다. 다음과 같은 경우 -ZZ 를 생략합니다.

        • LDAP 서버는 암호화된 연결을 지원하지 않습니다.
        • URL에 지정된 포트는 LDAPS 프로토콜을 사용합니다.
      • -H LDAP_URL 매개변수는 프로토콜, 호스트 이름 또는 IP 주소, LDAP 서버의 포트를 URL 형식으로 지정합니다.

   2. 인증된 사용자만 프록시를 사용할 수 있도록 Squid를 구성하는 다음 ACL 및 규칙을 추가합니다.

      acl ldap-auth proxy_auth REQUIRED
      http_access allow ldap-auth

      중요

      http_access가 모든 규칙을 거부하기 전에 이러한 설정을 지정합니다.

   3. localnet ACL에 지정된 IP 범위에서 프록시 인증을 바이패스하려면 다음 규칙을 제거합니다.

      http_access allow localnet

   4. 다음 ACL은 기본 구성에 존재하며 HTTPS 프로토콜을 사용하는 포트로 443 을 정의합니다.

      acl SSL_ports port 443

      사용자가 다른 포트에서도 HTTPS 프로토콜을 사용할 수 있어야 하는 경우 다음 포트 각각에 대해 ACL을 추가합니다.

      acl SSL_ports port port_number

   5. Squid가 연결을 설정할 수 있는 포트를 구성하려면 acl Safe_ports 규칙 목록을 업데이트합니다. 예를 들어 프록시를 사용하여 클라이언트가 포트 21(FTP), 80(HTTP) 및 443(HTTPS)의 리소스에만 액세스할 수 있도록 구성하려면 구성에 다음 acl Safe_ports 명령만 유지합니다.

      acl Safe_ports port 21
      acl Safe_ports port 80
      acl Safe_ports port 443

      기본적으로 구성에는 Safe_ports ACL에 정의되지 않은 포트에 대한 액세스 거부 거부 ! Safe_ports 규칙이 포함되어 있습니다.

   6. cache 유형, 캐시 디렉터리의 경로, 캐시 크기 및 cache_dir 매개변수의 추가 캐시 유형별 설정을 구성합니다.

      cache_dir ufs /var/spool/squid 10000 16 256

      이 설정에서는 다음을 수행합니다.

      • squid는 ufs 캐시 유형을 사용합니다.
      • squid는 캐시를 /var/spool/squid/ 디렉터리에 저장합니다.
      • 캐시는 최대 10000 MB로 증가합니다.
      • squid는 /var/spool/squid/ 디렉터리에 16 level-1 하위 디렉터리를 생성합니다.

      • squid는 각 level-1 디렉토리에 256 개의 하위 디렉터리를 생성합니다.

        cache_dir 지시문을 설정하지 않으면 Squid는 캐시를 메모리에 저장합니다.

3. cache_dir 매개변수에서 /var/spool/squid/ 와 다른 캐시 디렉토리를 설정하는 경우:

   1. 캐시 디렉토리를 만듭니다.

      # mkdir -p path_to_cache_directory

   2. 캐시 디렉터리에 대한 권한을 구성합니다.

      # chown squid:squid path_to_cache_directory

   3. 강제 모드에서 SELinux를 실행하는 경우 캐시 디렉터리에 대한 squid_cache_t 컨텍스트를 설정합니다.

      # semanage fcontext -a -t squid_cache_t "path_to_cache_directory(/.*)?"
      # restorecon -Rv path_to_cache_directory

      semanage 유틸리티를 시스템에서 사용할 수 없는 경우 policycoreutils-python-utils 패키지를 설치합니다.

4. LDAP 서비스 사용자의 암호를 /etc/squid/ldap_password 파일에 저장하고 파일에 대한 적절한 권한을 설정합니다.

   # echo "password" > /etc/squid/ldap_password
   # chown root:squid /etc/squid/ldap_password
   # chmod 640 /etc/squid/ldap_password

5. 방화벽에서 3128 포트를 엽니다.

   # firewall-cmd --permanent --add-port=3128/tcp
   # firewall-cmd --reload

6. squid 서비스를 활성화하고 시작합니다.

   # systemctl enable --now squid

1. auth_param 매개변수에서 사용한 것과 동일한 설정으로 helper 유틸리티를 수동으로 시작합니다.

   # /usr/lib64/squid/basic_ldap_auth -b "cn=users,cn=accounts,dc=example,dc=com" -D "uid=proxy_user,cn=users,cn=accounts,dc=example,dc=com" -W /etc/squid/ldap_password -f "(&(objectClass=person)(uid=%s))" -ZZ -H ldap://ldap_server.example.com:389

2. 유효한 사용자 이름과 암호를 입력하고 Enter 키를 누릅니다.

   user_name password

   도우미 유틸리티에서 OK 를 반환하면 인증이 성공했습니다.