2007年 04月 28日
eDirectory で最適な BlueCoat SG シリーズ
メニューの中には認証ソースとして eDirectory がデフォルトで入っています。あとは、どのコンテナ、グループ、ユーザを許可するかのルールを作るだけです。
eDirectory 環境ではプロキシーユーザ(代理ユーザ)の設定が必須です。つまり BlueCoat から代理でLDAP認証を要求するユーザの指定ですね。
ここでは .admin.MyOrg を指定して、Adminのパスワードをセットしてみましたが、セキュリティの問題があるようであれば、別なユーザを作って指定することも可能でしょう。 Winodows ドメインのように anonymous で問い合わせてパスワードを簡単に教えてくれるチャチなシステムではないので注意が必要です。 anonymous では認証は通りません。この辺の設計はしっかりしています。
ログは SYSLOG サーバや SUSE Linux の FTP のサーバなどに飛ばしましょう。かなりな量になります。
認証プロクシの最大の利点はこのURLを踏んだのがどのPC(IPアドレスか)ではなく「誰が」であるかがばっちりログに残ることです。IPだけ記録するプロクシだと実際にどのマシンかを特定するため、IPとMACアドレスを比較して、そのPCを特定して、誰がその時間PCを使っていたのか特定しなければならないわけです。だから並のプロクシでログ取っていてもほとんど意味ありません。重要なセキュリティを必要とする部門では少なくともユーザ認証プロクシは重要な機能となります。
また、eDirectory の柔軟性がありますから、 Microsoft の AD みたいに OU=User,O=MyOrg をザックりといった使えない機能ではなく、グループや個人単位でこまめに利用制限がかけられるのも AD を使わず eDirectory をつかってプロキシ認証をするメリットになります。
また、eDirectory を設計する上で重要なポイントにもなります。