社内インフラの技術

技術力を高めることで、快適な社内インフラを作る

ユーザ用ツール

サイト用ツール


system:groupware:gsuite:allowed-domains


G Suiteで、会社のみを許可する方法

概要

会社からG Suiteを利用できるようにすると、会社のG Suiteだけではなく、
個人利用のGmailなども利用できてしまいます。
会社以外のG Suiteにアクセスした場合、拒否することができます。

テナントアクセス制御の仕組み

  1. SSL(TLS) インターセプト(クライアントからの HTTPS 通信をプロキシで一度複合化する)
  2. プロキシ サーバーで、アクセスできるテナント名を記載したHTTPヘッダーを追加する
  3. Google側で、ヘッダーに記載のあったテナントへのアクセスを拒否する


プロキシーにより制御する方法

X-GoogApps-Allowed-Domains

google.com の各リクエストに対して次の処理を行います。
「X-GoogApps-Allowed-Domains:」という HTTP ヘッダーを追加します。

X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com


Squidで実現する方法

SSL 証明書の作成
# openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 -keyout squidCA.pem -out squidCA.pem
# openssl x509 -in squidCA.pem -outform DER -out squidCA.der
# cp squidCA.pem /usr/lib64/squid/


# /usr/lib64/squid/ssl_crtd -c -s /var/db/ssl_db  # ssl_db の初期化
# chown -R /var/db/ssl_db
/etc/squid/squid.conf
# Add HTTP Header
request_header_add X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com

# SSL BUMP Settings
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/lib64/squid/squidCA.pem
ssl_bump bump all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/db/ssl_db -M 4MB

squidCA.der をダブルクリックし、以下の信頼済みルート証明機関にインストール


参考


system/groupware/gsuite/allowed-domains.txt · 最終更新: 2020/05/15 01:41 by kurihara

ページ用ツール