Post Pic

Squid hari ke tiga: Mengenal Sistem Autentikasi di Squid

Sebelum mengkonfigurasi sistem autentikasi di Squid, kita akan berkenalan dengan skema-skema autentikasi yang didukung oleh Squid. Setiap skema autentikasi ada kelebihan dan kekurangan. Dan untuk mengkonfigurasinya biasanya diperlukan helper, atau program untuk membantu proses autentikasi ke backend. Lebih jelasnya saya coba bahas ditulisan ini.


Sistem Autentikasi di Squid

Squid mendukung 4 skema autentikasi, yaitu:

  1. Basic
  2. Digest
  3. NTLM
  4. Negotiate (mulai dari versi 2.6)

Masing-masing skema autentikasi punya kelebihan dan kekurangan masing-masing. Mari kita bahas satu per satu.

Basic Authentication

Ini adalah skema autentikasi yang didukung oleh semua peramban (browser) utama. Dan lebih dari itu, bisa berfungsi dengan baik di semua platform OS. Jadi kalau ingin menggunakan skema autentikasi yang yakin berfungsi dengan baik di semua browser, pakailah skema autentikasi basic.

Sayangnya skema autentikasi basic ini memiliki satu kelemahan utama, yaitu proses pengiriman data user dan password dikirim dalam format plain text. Jadi sangat rentan terhadap proses snip atau penyadapan saat proses autentikasi berlangsung.

Skema ini tidak disarankan ketika layanan yang diberikan akan diakses melalui jaringan internet. Tapi masih bisa ditolerir jika layanan itu dibuat untuk kalangan terbatas, misalnya LAN kantor. Dan karena squid pada umumnya digunakan di jaringan terbatas, skema autentikasi ini masih bisa digunakan.

Helper atau program bantu untuk autentikasi ke backend

Squid menyediakan beberapa program bantu untuk skema autentikasi basic. Anda bisa memilih mana yang cocok dengan keperluan Anda.

  1. LDAP: Autentikasi ke LDAP.
  2. NCSA: Menggunakan format penulisan username dan password format NCSA.
  3. MSNT: Autentikasi ke domain Windows NT.
  4. PAM: Menggunakan skema autentikasi PAM yang umum digunakan di sistem operasi Unix/Linux.
  5. SMB: Menggunakan server SMB seperti Windows NT atau Samba.
  6. getpwam: Menggunakan cara kuno, berkas password di Unix/Linux.
  7. SASL: Mengggunakan pustaka SASL.
  8. mswin_sspi: Windows native authenticator.
  9. YP: Menggunakan database NIS.

Digest Authentication

Skema autentikasi digest diperkenalkan untuk mengatasi kelemahan yang ada di skema autentikasi basic. Skema ini lebih aman, karena pada saat autentikasi, data username dan password tidak dikirim dalam format plain text.

Secara umum, kelebihan skema autentikasi digest dibandingkan skema autentikasi basic, yaitu lebih aman. Tapi sayangnya tidak didukung oleh semua browser. Internet Explorer 5 & 6 adalah salah satu browser yang tidak mendukung skema autentikasi digest.

NTLM Authentication

Ini adalah skema autentikasi yang diperkenalkan oleh Microsoft. Dengan menggunakan skema autentikasi NTLM, semua user yang sudah login ke domain, ketika mengakses squid tidak akan diminta lagi username dan password. Ini yang kita kenal sebagai proses Single Sign On. Jika sudah sukses autentikasi di satu layanan, ketika ingin menggunakan layanan lain tidak perlu memasukkan login dan password lagi, proses autentikasi berlangsung secara transparan.

Sayangnya, seperti yang mungkin Anda sudah bisa tebak, ini hanya berfungsi dengan baik di sistem operasi Windows. Dan tidak semua browser mendukung skema autentikasi NTLM. Internet Explorer dan Firefox adalah salah satu browser yang mendukung skema autentikasi NTLM. Chrome, Safari dan Opera adalah contoh browser yang belum mendukung skema autentikasi NTLM.

Biasanya, untuk browser atau OS yang tidak mendukung skema autentikasi NTLM, ada pilihan fallback ke skema autentikasi basic.

Helper atau program bantu untuk autentikasi ke backend

Paket samba menyertakan winbind ntlm helper untuk membantu squid bisa memberikan layanan skema autentikasi NTLM.

Sedikit catatan di Debian atau Ubuntu, yang Anda gunakan adalah /usr/bin/ntlm_auth, dan BUKAN ke /usr/lib/squid/ntlm_auth.

Negotiate Authentication

Protokol negotiate diperkenalkan lagi-lagi oleh Microsoft, sering dikenal juga sebagai SPNEGO. Skema autentikasi ini memperbarui skema Single Sign On yang sebelumnya menggunakan autentikasi NTLM.

Jadi apakah Negotiate itu? Skema ini bisa dianggap sebagai wrapper (atau alat bantu) untuk menggunakan salah satu dari autentikasi ke Kerberos atau NTLM. Kelebihan skema ini, jauh lebih aman bila dibandingkan dengan skema autentikasi NTLM.

Kelemahannya, lagi-lagi hanya berfungsi dengan baik di lingkungan OS Windows. Selain itu untuk saat ini mengkonfigurasi skema autentikasi negotiate agak ribet, karena helper baru tersedia untuk sistem operasi windows.

Rangkuman

Di tulisan ini memang tidak memberikan contoh siap pakai, tapi diharapkan Anda memahami beberapa aspek dasar tentang skema autentikasi di Squid. Dan untuk memahami lebih lanjut, saya berika beberapa tautan yang mungkin bisa memberikan penjelasan yang lebih detail.

Membuat Web Proxy Server menggunakan Squid 


5 Komentar

11 January 2010

kenalan biar bisa disayang ya ommm

2 February 2010

Tip dan Tutorial nya sangat membantu, buat lagi ya kang terutama yang berkaitan security LINUX.
Semoga kerjaannya lancar dan sukses.

2 February 2010

kang contoh script squid siap pakai nya tolong di Upload juga ya
untuk experiment di kantor saya
terima kasih sebelumnya

21 March 2010

wah membantu sekali nih tutorialnyaaa …. terima kasih banget , tapi klo bisa ditambah lagi dong untuk settingan memblok situs porno , mensetting cache yang dapat membuat performa squidnya makin mantappp,.. sekali lagi terima kasih yaa

cemun
4 May 2010

bang ngadimin thank atas tutorialnya, ngomong2 punya tutorial security web server ga? kalo ada bagi yah atau cara instalasi web server yang canggih gito oke oke thanks sebelumnya.