eDirectory で最適な BlueCoat SG シリーズ

Novell eDirectory の環境で認証 Proxy として非常に利用しやすいのが BlueCoat SG シリーズです。今までは Vorela Excelerator などいい製品があったのですが、ノベルは Volera をディスコンにしてしまったので代替のプロクシサーバを探していたのですが、やっと BlueCoat のプロキシが eDirectory と非常によい連携を取ってくれることがわかったのでお勧めでしょう。

eDirectory で最適な BlueCoat SG シリーズ_a0056607_11731.gif


メニューの中には認証ソースとして eDirectory がデフォルトで入っています。あとは、どのコンテナ、グループ、ユーザを許可するかのルールを作るだけです。

eDirectory で最適な BlueCoat SG シリーズ_a0056607_1195681.gif


eDirectory 環境ではプロキシーユーザ(代理ユーザ)の設定が必須です。つまり BlueCoat から代理でLDAP認証を要求するユーザの指定ですね。

ここでは .admin.MyOrg を指定して、Adminのパスワードをセットしてみましたが、セキュリティの問題があるようであれば、別なユーザを作って指定することも可能でしょう。 Winodows ドメインのように anonymous で問い合わせてパスワードを簡単に教えてくれるチャチなシステムではないので注意が必要です。 anonymous では認証は通りません。この辺の設計はしっかりしています。

ログは SYSLOG サーバや SUSE Linux の FTP のサーバなどに飛ばしましょう。かなりな量になります。

認証プロクシの最大の利点はこのURLを踏んだのがどのPC(IPアドレスか)ではなく「誰が」であるかがばっちりログに残ることです。IPだけ記録するプロクシだと実際にどのマシンかを特定するため、IPとMACアドレスを比較して、そのPCを特定して、誰がその時間PCを使っていたのか特定しなければならないわけです。だから並のプロクシでログ取っていてもほとんど意味ありません。重要なセキュリティを必要とする部門では少なくともユーザ認証プロクシは重要な機能となります。

また、eDirectory の柔軟性がありますから、 Microsoft の AD みたいに OU=User,O=MyOrg をザックりといった使えない機能ではなく、グループや個人単位でこまめに利用制限がかけられるのも AD を使わず eDirectory をつかってプロキシ認証をするメリットになります。

また、eDirectory を設計する上で重要なポイントにもなります。
by islandcenter | 2007-04-28 01:32 | OES Linux | Comments(0)