vine-users ML アーカイブ



[vine-users:079136] squidの PAM認証

  • From: Tsutomu Onishi <t-onishi@xxxxxxxxxxxxxx>
  • Subject: [vine-users:079136] squidの PAM認証
  • Date: Thu, 29 Jan 2009 18:01:17 +0900
squidでPAM認証を使いたいのですが、躓いております。

現在は認証を行わず IPアドレスでの制限を行い、問題なく動作していますが、
不特定のアドレスからパスワードの認証で利用したい状況が出てきたため設定を変更
しようと思い、ネット上を検索していくつかの参考文献などにあたってみたのです
が、どうしても認証に成功しません。

意外とPAM認証を用いた情報が日本語では少ないため、ここ一週間ほど英語圏のもの
も含めて探し、例えば
http://www.nichewares.com/howtos/free-linux-docs/linux-security/squid-pam-authentication-and-mozilla-firefox-preferences-lockdown.html
あるいは
http://www.opensourcehowto.org/how-to/squid/squid-with-pam-authentication.html
あたりを手本に設定を行ってみましたが、どうにもうまくいきません。
現在の(認証失敗する)設定は以下の通りです。

/etc/squid/squid.conf (認証関係の抜粋)
-----------------------------------------------------------
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
acl pam_allowed_users proxy_auth porxy_user
http_access allow pam_allowed_users
-----------------------------------------------------------

※注
acl password proxy_auth REQUIRED と
http_access allow password の組み合わせでも同じ結果です。


/etc/pam.d/squid
-----------------------------------------------------------
#%PAM-1.0
auth	required	/lib/security/pam_unix.so
account	required	/lib/security/pam_unix.so
-----------------------------------------------------------

アクセスするとユーザ名・パスワードの入力を求められますが、エラーになり、
/var/log/secure に

> Jan 29 13:11:15 Hogehoge (pam_auth): pam_unix(squid:auth): authentication
>  failure; logname= uid=23 euid=23 tty= ruser= rhost=  user=porxy_user

と出ますので、ファイアーウォール等の問題ではなく、認証の問題であることは
確かだと思われます。
上記ログの "proxy_user" というプロキシ専用に用意したユーザ(シェルは
/sbin/nologin)の場合も、既存の自分のアカウントを使った場合も同様のエラーに
なります。

検索すると私同様に「ユーザ名・パスワードを入れてもエラーになる」という相談
を数カ所見つけましたが、いずれも未解決のまま放置されていましたので、もう
お手上げ、という感じです。

どなたか解決法をご存じの方はいらっしゃらないでしょうか?
(できたら digest認証にしたいのですが、そちらの設定についてはさらに不明。
こちらもお分かりの方がいらっしゃったらお願いします)
入っているバージョンは squid-2.6.STABLE20-1vl4 です。


大西

--------
     --------------------------------------------------
              Tsutomu Onishi @ Tokyo, Japan
                             email: t-onishi@xxxxxxxxxxxxxx
                    --------------------------------------------------