pfSense+Squid በ https ማጣሪያ + ነጠላ ምልክት ቴክኖሎጂ (ኤስኤስኦ) በActive Directory ቡድኖች በማጣራት
አጭር ዳራ
ኢንተርፕራይዙ ተጠቃሚዎች ምንም ተጨማሪ የይለፍ ቃሎችን እንዳያስገቡ እና አስተዳደር ከድር በይነገጽ ሊደረግ የሚችለውን የድረ-ገጾችን (httpsን ጨምሮ) ከ AD በቡድኖች የማጣራት ችሎታ ያለው ተኪ አገልጋይ መተግበር ነበረበት። መጥፎ መተግበሪያ አይደለም, አይደለም?
ትክክለኛው መልስ እንደ Kerio Control ወይም UserGate ያሉ መፍትሄዎችን መግዛት ነው, ነገር ግን እንደ ሁልጊዜ ገንዘብ የለም, ግን ፍላጎት አለ.
ይህ ጥሩ አሮጌ ስኩዊድ እኛን ለማዳን የሚመጣበት ነው፣ ግን በድጋሚ፣ የድር በይነገጽን ከየት ማግኘት እችላለሁ? SAMS2? ሥነ ምግባራዊ ጊዜ ያለፈበት። pfSense ለማዳን የሚመጣው እዚህ ላይ ነው።
መግለጫ
ይህ ጽሑፍ የስኩዊድ ፕሮክሲ አገልጋይን እንዴት ማዋቀር እንደሚቻል ያብራራል።
Kerberos ለተጠቃሚዎች ፍቃድ ለመስጠት ስራ ላይ ይውላል።
SquidGuard በጎራ ቡድኖች ለማጣራት ስራ ላይ ይውላል።
Lightsquid፣ sqstat እና internal pfSense የክትትል ስርዓቶች ለክትትል ስራ ላይ ይውላሉ።
የነጠላ መግቢያ (SSO) ቴክኖሎጂን ከመተግበሩ ጋር የተያያዘ የተለመደ ችግር ማለትም በስርዓታቸው መለያ ኮምፓስ አካውንት ወደ ኢንተርኔት ለመግባት የሚሞክሩ አፕሊኬሽኖችም መፍትሄ ያገኛሉ።
ስኩዊድ ለመጫን በመዘጋጀት ላይ
pfSense እንደ መሠረት ይጠቀማል ፣
በውስጡ የጎራ መለያዎችን በመጠቀም ለፋየርዎል በራሱ ማረጋገጥን እናደራጃለን።
በጣም አስፈላጊ!
Squid ን መጫን ከመጀመርዎ በፊት የዲኤንኤስ አገልጋይን በ pfsense ማዋቀር፣ በዲኤንኤስ አገልጋይችን ላይ A ሪከርድ እና PTR ሪኮርድ ማድረግ እና NTP በማዋቀር ጊዜው በጎራ መቆጣጠሪያው ላይ ካለው ጊዜ እንዳይለይ ማድረግ ያስፈልግዎታል።
እና በእርስዎ አውታረ መረብ ውስጥ፣ ለ pfSense WAN በይነገጽ በይነመረብን የመጠቀም ችሎታን ያቅርቡ እና በአካባቢያዊ አውታረመረብ ላይ ያሉ ተጠቃሚዎች ወደ 7445 እና 3128 በፖርት 8080 እና XNUMX (በእኔ ሁኔታ XNUMX) ጨምሮ ከ LAN በይነገጽ ጋር እንዲገናኙ ያቅርቡ።
ሁሉም ዝግጁ ነው? ጎራ በ LDAP በኩል በpfSense ላይ ፈቃድ ለማግኘት ተገናኝቷል እና ጊዜው የተመሳሰለ ነው? በጣም ጥሩ. ዋናውን ሂደት ለመጀመር ጊዜው ነው.
መጫን እና ቅድመ-ውቅር
በ "System/Package Manager" ክፍል ውስጥ Squid, SquidGuard እና LightSquid ከ pfSense ጥቅል አስተዳዳሪ እንጭነዋለን.
ከተሳካ ጭነት በኋላ ወደ "Services/Squid Proxy server/" ይሂዱ እና በመጀመሪያ በሎካል መሸጎጫ ትር ውስጥ መሸጎጫውን ያዋቅሩ ፣ ሁሉንም ነገር ወደ 0 አዘጋጃለሁ ፣ ምክንያቱም ጣቢያዎችን መሸጎጫ ውስጥ ብዙ ነጥብ አይታየኝም፤ አሳሾች ይህንን በትክክል ይቆጣጠሩታል። ካቀናበሩ በኋላ በማያ ገጹ ግርጌ ላይ ያለውን "አስቀምጥ" የሚለውን ቁልፍ ይጫኑ እና ይህ መሰረታዊ ፕሮክሲ ቅንብሮችን ለመስራት እድል ይሰጠናል.
ዋናዎቹ ቅንጅቶች እንደሚከተለው ናቸው-
ነባሪ ወደብ 3128 ነው, ግን 8080 መጠቀም እመርጣለሁ.
በፕሮክሲ ኢንተርፌስ ትር ውስጥ የተመረጡት መለኪያዎች ተኪ አገልጋያችን የትኞቹን በይነገጾች እንደሚያዳምጥ ይወስናሉ። ይህ ፋየርዎል የተገነባው በ WAN በይነገጽ በኩል በይነመረብን በሚመለከት መንገድ ስለሆነ ምንም እንኳን LAN እና WAN በተመሳሳይ የአካባቢ ሳብኔት ላይ ሊሆኑ ቢችሉም LAN ን ለፕሮክሲው እንዲጠቀሙ እመክራለሁ ።
sqstat እንዲሰራ Loopback ያስፈልጋል።
ከዚህ በታች የTransparent proxy settings እና SSL Filter ታገኛላችሁ፣ ነገር ግን አንፈልጋቸውም፣ ፕሮክሲያችን ግልፅ አይሆንም፣ እና ለ https ማጣራት የምስክር ወረቀት መተካትን አንመለከትም (ከሁሉም በኋላ፣ የሰነድ አስተዳደር አለን ፣ የባንክ ደንበኞች ፣ ወዘተ) ፣ የእጅ መጨባበጥን ብቻ እንይ።
በዚህ ደረጃ፣ ወደ ጎራ መቆጣጠሪያችን መሄድ አለብን፣ ለማረጋገጫ በውስጡ መለያ መፍጠር (እንዲሁም በ pfSense በራሱ ላይ ለማረጋገጫ ያዋቀሩትን መጠቀም ይችላሉ።) እዚህ ላይ በጣም አስፈላጊው ነገር AES128 ወይም AES256 ምስጠራ ለመጠቀም ካሰቡ በመለያ ቅንጅቶችዎ ውስጥ ያሉትን አግባብ የሆኑ ሳጥኖችን ምልክት ያድርጉ።
የእርስዎ ጎራ ብዙ ማውጫዎች ያሉት በጣም የተወሳሰበ ጫካ ከሆነ ወይም የእርስዎ ጎራ .አካባቢያዊ ከሆነ ፣ ከዚያ POSSIBLY ፣ ግን በእርግጠኝነት አይደለም ፣ ለዚህ መለያ ቀላል የይለፍ ቃል መጠቀም አለብዎት ፣ ስህተቱ ይታወቃል ፣ ግን ውስብስብ ከሆነ የይለፍ ቃሉ በቀላሉ ላይሰራ ይችላል, በአንድ የተወሰነ ግለሰብ ጉዳይ ላይ ማረጋገጥ ያስፈልግዎታል.
ከዚህ ሁሉ በኋላ ለ Kerberos ቁልፍ ፋይል እንፈጥራለን, በጎራ መቆጣጠሪያው ላይ, ከአስተዳዳሪ መብቶች ጋር የትእዛዝ ጥያቄን ይክፈቱ እና ያስገቡ:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
የእኛን FQDN pfSense ን በምንጠቁምበት ቦታ ጉዳዩን አክብሩት በ mapuser parameter ውስጥ የኛን ጎራ አካውንት እና የይለፍ ቃሉን እናስገባለን እና በ crypto ውስጥ የኢንክሪፕሽን ዘዴን እንመርጣለን ፣ rc4 ን ለስራ ተጠቀምኩ እና በ -out መስክ ውስጥ የት እንመርጣለን ። ዝግጁ የሆነ ቁልፍ ፋይላችንን እንልካለን።
የቁልፍ ፋይሉን በተሳካ ሁኔታ ከፈጠርን በኋላ ወደ እኛ pfSense እንልካለን፣ ለዚህም ሩቅ ተጠቀምኩኝ፣ ነገር ግን ይህንን በትእዛዝ፣ putty ወይም በ pfSense ድር በይነገጽ በ "DiagnosticsCommand Line" ክፍል ውስጥ ማድረግ ይችላሉ።
አሁን መፍጠር እንችላለን /etc/krb5.conf
የት /etc/krb5.keytab የፈጠርነው ቁልፍ ፋይል ነው።
የኪንትን በመጠቀም የከርቤሮስን አሠራር ማረጋገጥዎን እርግጠኛ ይሁኑ, ካልሰራ, የበለጠ ለማንበብ ምንም ፋይዳ የለውም.
የስኩዊድ ማረጋገጫን በማዋቀር ላይ እና ምንም የማረጋገጫ መዳረሻ ዝርዝር የለም።
ከርቤሮስን በተሳካ ሁኔታ ካዋቀርነው ከስኩዊድችን ጋር እናያይዘዋለን።
ይህንን ለማድረግ ወደ ServicesSquid Proxy Server ይሂዱ እና በዋና ቅንብሮች ውስጥ ወደ ታች ይሂዱ, እዚያም "የላቁ ቅንብሮች" የሚለውን ቁልፍ እናገኛለን.
በብጁ አማራጮች (ከተረጋገጠ በፊት) መስክ ውስጥ ያስገቡ፡-
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authየት auth_param የመደራደር ፕሮግራም /usr/local/libexec/squid/negotiate_kerberos_auth - የምንፈልገውን የKerberos ማረጋገጫ ረዳትን ይመርጣል።
ቁልፍ -s ትርጉም ያለው GSS_C_NO_NAME - ከቁልፍ ፋይሉ የማንኛውንም መለያ አጠቃቀም ይወስናል።
ቁልፍ -k ትርጉም ያለው /usr/local/etc/squid/squid.keytab - ይህን ልዩ የቁልፍ ታብ ፋይል ለመጠቀም ይወስናል። በእኔ ሁኔታ ይህ ያመነጨነው የኪታብ ፋይል ነው፣ ወደ /usr/local/etc/squid/ directory ገልብጬ ስሙን ቀይሬዋለሁ ምክንያቱም ስኩዊዱ ከዚያ ማውጫ ጋር ጓደኛ መሆን አልፈለገም ፣ እኔ የለኝም ነበር ። በቂ መብቶች.
ቁልፍ -t ትርጉም ያለው - አይደለም — ለጎራ ተቆጣጣሪው ሳይክሊካል ጥያቄዎችን ያሰናክላል፣ ይህም ከ50 በላይ ተጠቃሚዎች ካሉዎት በላዩ ላይ ያለውን ጭነት በእጅጉ ይቀንሳል።
በፈተናው ወቅት የ -d ማብሪያ / ማጥፊያውን ማከል ይችላሉ - ማለትም ምርመራዎች ፣ ተጨማሪ ምዝግብ ማስታወሻዎች ይታያሉ።
auth_param ድርድር ልጆች 1000 - ምን ያህል በአንድ ጊዜ የፈቃድ ሂደቶች ሊጀመሩ እንደሚችሉ ይወስናል
auth_param ድርድር በህይወት_መቆየት። - የፍቃድ ሰንሰለቱን በሚመርጥበት ጊዜ ግንኙነቱ እንዳይቋረጥ ይከላከላል
acl auth proxy_auth REQUIRED - የተፈቀደላቸው ተጠቃሚዎችን ያካተተ የመዳረሻ መቆጣጠሪያ ዝርዝር ይፈጥራል እና ይፈልጋል
acl nonauth dstdomain "/etc/squid/nonauth.txt" — ሁሉም ሰው ሁል ጊዜ እንዲደርስበት የሚፈቀድላቸው የመድረሻ ጎራዎችን ስላለው ስለ ኖውዝ መዳረሻ ዝርዝር ለስኩዊድ እናሳውቀዋለን። ፋይሉን ራሱ እንፈጥራለን, እና በውስጡ ያሉትን ጎራዎች በቅርጸቱ ውስጥ አስገባን
.whatsapp.com
.whatsapp.net
ዋትስአፕ እንደ ምሳሌ ጥቅም ላይ የሚውለው በምክንያት ነው - ስለ ማረጋገጫ ፕሮክሲዎች በጣም መራጭ ነው እና ከማረጋገጡ በፊት ካልተፈቀደ አይሰራም።
http_access ፍቀድ nonauth — ለሁሉም ሰው የዚህን ዝርዝር መዳረሻ ፍቀድ
http_መዳረሻ ውድቅ !auth — ላልተፈቀደላቸው ተጠቃሚዎች የሌሎች ጣቢያዎችን መዳረሻ እንከለክላለን
http_መዳረሻ ፍቀድ - ለተፈቀደላቸው ተጠቃሚዎች መዳረሻ ፍቀድ።
ያ ነው ፣ ስኩዊድ ራሱ ተዋቅሯል ፣ አሁን በቡድኖች ማጣራት ለመጀመር ጊዜው አሁን ነው።
SquidGuard በማዋቀር ላይ
ወደ ServicesSquidGuard ፕሮክሲ ማጣሪያ ይሂዱ።
በኤልዲኤፒ አማራጮች ውስጥ ለKerberos ማረጋገጫ ጥቅም ላይ የዋለውን የመለያችንን ዝርዝሮች እናስገባለን፣ ግን በሚከተለው ቅርጸት፡
CN=pfsense,OU=service-accounts,DC=domain,DC=localክፍተቶች ወይም የላቲን ያልሆኑ ቁምፊዎች ካሉ፣ ይህ ሙሉው ግቤት በነጠላ ወይም በድርብ ጥቅሶች መካተት አለበት።
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"በመቀጠል እነዚህን ሳጥኖች ምልክት ማድረግዎን ያረጋግጡ፡-
አላስፈላጊ DOMAINpfsenseን ለማጥፋት አጠቃላይ ስርዓቱ በጣም ስሜታዊ የሆነበት አካባቢ።
አሁን ወደ ግሩፕ አሲል እንሂድ እና የኛን የዶሜዳ መዳረሻ ቡድኖችን እናሰር፣ እስከ 0 ያሉ ቀላል ስሞችን እንደ group_1፣ group_3 ወዘተ እጠቀማለሁ፣ 3 ማለት ወደ ነጭ ዝርዝሩ ብቻ መድረስ ማለት ነው፣ እና 0 ማለት ሁሉም ነገር ይቻላል ማለት ነው።
ቡድኖቹ እንደሚከተለው ተያይዘዋል.
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))ቡድናችንን እናድናለን ፣ ወደ ታይምስ እንሄዳለን ፣ እዚያ አንድ ክፍተት ፈጠርኩ ማለት ሁል ጊዜ ይሰራል ማለት ነው ፣ አሁን ወደ ዒላማ ምድቦች ሄደን በእኛ ውሳኔ ዝርዝሮችን እንፈጥራለን ፣ ዝርዝሮችን ከፈጠርን በኋላ ወደ ቡድኖቻችን እንመለሳለን እና በቡድኑ ውስጥ ቁልፎችን እንጠቀማለን ። ማን የት መሄድ እንደሚችል እና ማን የት መሄድ እንደማይችል ለመምረጥ .
LightSquid እና sqstat
በማዋቀር ሂደት ውስጥ loopbackን በስኩዊድ መቼቶች ውስጥ ከመረጥን እና 7445 ን በፋየርዎል የመግባት ችሎታ ከከፈትን በእኛ አውታረ መረብ እና በ pfSense እራሱ ፣ ወደ DiagnosticsSquid Proxy Reports ስንሄድ ሁለቱንም sqstat እና Lighsquid በቀላሉ መክፈት እንችላለን። በኋላ እኛ እንፈልጋለን እዚያ መግቢያ እና የይለፍ ቃል ይዘው መምጣት ይችላሉ, እና ንድፍ መምረጥም ይችላሉ.
ማጠናቀቅ
pfSense ብዙ ነገሮችን ሊያደርግ የሚችል በጣም ኃይለኛ መሳሪያ ነው - የትራፊክ ፍሰትን መቆጣጠር እና የተጠቃሚውን የበይነመረብ መዳረሻ መቆጣጠር የአጠቃላይ ተግባራት ቅንጣት ነው, ነገር ግን 500 ማሽኖች ባሉበት ኢንተርፕራይዝ ውስጥ ችግሩን ቀርፎ እንድንቆጥብ አስችሎናል. በፕሮክሲ ግዢ ላይ.
ይህ ጽሑፍ አንድ ሰው ለመካከለኛ እና ትልቅ ኢንተርፕራይዞች በጣም አስፈላጊ የሆነውን ችግር ለመፍታት እንደሚረዳው ተስፋ አደርጋለሁ.
ምንጭ: hab.com