ডোমেন অনুমোদন সহ এন্টারপ্রাইজের জন্য বিনামূল্যে প্রক্সি সার্ভার

https ফিল্টারিং সহ pfSense+Squid + সক্রিয় ডিরেক্টরি গ্রুপ ফিল্টারিং সহ একক সাইন-অন (SSO)

সংক্ষিপ্ত পটভূমি

কোম্পানীর একটি প্রক্সি সার্ভার প্রয়োগ করতে হবে যাতে AD থেকে গোষ্ঠীগুলির দ্বারা সাইটগুলিতে অ্যাক্সেস ফিল্টার করার ক্ষমতা (https সহ) যাতে ব্যবহারকারীরা কোনও অতিরিক্ত পাসওয়ার্ড না দেয় এবং ওয়েব ইন্টারফেস থেকে পরিচালনা করা যায়৷ ভাল আবেদন, তাই না?

সঠিক উত্তরটি হবে কেরিও কন্ট্রোল বা ইউজারগেটের মতো সলিউশন কেনা, কিন্তু সবসময়ের মতো টাকা নেই, তবে প্রয়োজন আছে।

এখানেই ভাল পুরানো স্কুইড উদ্ধারে আসে, কিন্তু আবার - আমি একটি ওয়েব ইন্টারফেস কোথায় পেতে পারি? SAMS2? নৈতিকভাবে অপ্রচলিত। এখানেই pfSense উদ্ধারে আসে।

বিবরণ

এই নিবন্ধটি বর্ণনা করবে কিভাবে স্কুইড প্রক্সি সার্ভার কনফিগার করতে হয়।
Kerberos ব্যবহারকারীদের অনুমোদন করতে ব্যবহার করা হবে।
SquidGuard ডোমেন গ্রুপ দ্বারা ফিল্টার ব্যবহার করা হবে.

Lightsquid, sqstat এবং অভ্যন্তরীণ pfSense মনিটরিং সিস্টেম নিরীক্ষণের জন্য ব্যবহার করা হবে।
এটি একক সাইন-অন (SSO) প্রযুক্তির প্রবর্তনের সাথে যুক্ত একটি সাধারণ সমস্যাও সমাধান করবে, যেমন অ্যাপ্লিকেশনগুলি তাদের সিস্টেম অ্যাকাউন্টের সাথে কম্পাস অ্যাকাউন্টের অধীনে ইন্টারনেট সার্ফ করার চেষ্টা করে৷

স্কুইড ইনস্টল করার প্রস্তুতি নিচ্ছে

pfSense ভিত্তি হিসাবে নেওয়া হবে, সংস্থাপনের নির্দেশনা.

যার ভিতরে আমরা ডোমেইন অ্যাকাউন্ট ব্যবহার করে ফায়ারওয়ালে প্রমাণীকরণের ব্যবস্থা করি। নির্দেশনা।

অনেক গুরুত্বপূর্ণ!

আপনি স্কুইড ইনস্টল করা শুরু করার আগে, আপনাকে pfsense-এ DNS সার্ভার কনফিগার করতে হবে, আমাদের DNS সার্ভারে এটির জন্য একটি A রেকর্ড এবং একটি PTR রেকর্ড তৈরি করতে হবে এবং NTP কনফিগার করতে হবে যাতে সময় ডোমেন কন্ট্রোলারের সময়ের থেকে আলাদা না হয়।

এবং আপনার নেটওয়ার্কে, ইন্টারনেটে যাওয়ার জন্য pfSense-এর WAN ইন্টারফেস এবং স্থানীয় নেটওয়ার্কের ব্যবহারকারীদের 7445 এবং 3128 পোর্ট সহ (আমার ক্ষেত্রে 8080) LAN ইন্টারফেসের সাথে সংযোগ করার ক্ষমতা প্রদান করুন।

সব রেডি তো? pfSense-এ অনুমোদনের জন্য ডোমেনের সাথে LDAP সংযোগ স্থাপন করা হয়েছে এবং সময়টি সিঙ্ক্রোনাইজ করা হয়েছে? দারুণ। মূল প্রক্রিয়া শুরু করার সময় এসেছে।

ইনস্টলেশন এবং প্রাক কনফিগারেশন

"সিস্টেম / প্যাকেজ ম্যানেজার" বিভাগে pfSense প্যাকেজ ম্যানেজার থেকে Squid, SquidGuard এবং LightSquid ইনস্টল করা হবে।

সফল ইনস্টলেশনের পরে, "পরিষেবা / স্কুইড প্রক্সি সার্ভার /" এ যান এবং সর্বপ্রথম, স্থানীয় ক্যাশে ট্যাবে, ক্যাশিং কনফিগার করুন, আমি সবকিছু 0 এ সেট করেছি, কারণ আমি ক্যাশিং সাইটগুলিতে খুব বেশি বিন্দু দেখতে পাচ্ছি না, ব্রাউজারগুলি এটির সাথে একটি দুর্দান্ত কাজ করে। সেট করার পরে, স্ক্রিনের নীচে "সংরক্ষণ করুন" বোতাম টিপুন এবং এটি আমাদের মৌলিক প্রক্সি সেটিংস করার সুযোগ দেবে৷

প্রধান সেটিংস নিম্নরূপ:

ডিফল্ট পোর্ট 3128, কিন্তু আমি 8080 ব্যবহার করতে পছন্দ করি।

প্রক্সি ইন্টারফেস ট্যাবে নির্বাচিত প্যারামিটারগুলি নির্ধারণ করে যে আমাদের প্রক্সি সার্ভার কোন ইন্টারফেসে শুনবে। যেহেতু এই ফায়ারওয়ালটি এমনভাবে তৈরি করা হয়েছে যে এটি ইন্টারনেটে একটি WAN ইন্টারফেস হিসাবে দেখায়, যদিও LAN এবং WAN একই স্থানীয় সাবনেটে থাকতে পারে, আমি প্রক্সির জন্য LAN ব্যবহার করার পরামর্শ দিই।

sqstat কাজ করার জন্য লুপব্যাক প্রয়োজন।

নীচে আপনি স্বচ্ছ (স্বচ্ছ) প্রক্সি সেটিংস, সেইসাথে SSL ফিল্টার পাবেন, কিন্তু আমাদের সেগুলির প্রয়োজন নেই, আমাদের প্রক্সি স্বচ্ছ হবে না, এবং https ফিল্টারিংয়ের জন্য আমরা শংসাপত্রটি প্রতিস্থাপন করব না (আমাদের নথির প্রবাহ আছে, ব্যাঙ্ক ক্লায়েন্ট, ইত্যাদি), আসুন শুধু হ্যান্ডশেক দেখি।

এই পর্যায়ে, আমাদের আমাদের ডোমেন কন্ট্রোলারে যেতে হবে, এটিতে একটি প্রমাণীকরণ অ্যাকাউন্ট তৈরি করতে হবে (আপনি পিএফসেনসে নিজেই প্রমাণীকরণের জন্য কনফিগার করা একটি ব্যবহার করতে পারেন)। এখানে একটি অত্যন্ত গুরুত্বপূর্ণ বিষয় - আপনি যদি AES128 বা AES256 এনক্রিপশন ব্যবহার করতে চান - আপনার অ্যাকাউন্ট সেটিংসে উপযুক্ত বাক্সে টিক চিহ্ন দিন৷

যদি আপনার ডোমেনটি অনেক সংখ্যক ডিরেক্টরি সহ একটি খুব জটিল বন হয় বা আপনার ডোমেন .local হয়, তবে এটি সম্ভব, তবে নিশ্চিত নয় যে আপনাকে এই অ্যাকাউন্টের জন্য একটি সাধারণ পাসওয়ার্ড ব্যবহার করতে হবে, বাগটি জানা আছে, কিন্তু এটি সহজভাবে একটি জটিল পাসওয়ার্ড দিয়ে কাজ নাও করতে পারে, আপনাকে একটি নির্দিষ্ট বিশেষ ক্ষেত্রে পরীক্ষা করতে হবে।

এর পরে, আমরা কার্বেরসের জন্য একটি কী ফাইল তৈরি করি, ডোমেন কন্ট্রোলারে প্রশাসকের অধিকার সহ একটি কমান্ড প্রম্পট খুলি এবং লিখুন:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

যেখানে আমরা আমাদের FQDN pfSense নির্দেশ করি, কেসটিকে সম্মান করতে ভুলবেন না, ম্যাপাউজার প্যারামিটারে আমাদের ডোমেন অ্যাকাউন্ট এবং এর পাসওয়ার্ড লিখুন এবং ক্রিপ্টোতে আমরা এনক্রিপশন পদ্ধতি নির্বাচন করি, আমি কাজের জন্য rc4 ব্যবহার করি এবং -আউট ক্ষেত্রে আমরা নির্বাচন করি যেখানে আমরা আমাদের সমাপ্ত কী ফাইল পাঠাবে।
কী ফাইলটি সফলভাবে তৈরি করার পরে, আমরা এটিকে আমাদের pfSense-এ পাঠাব, আমি এর জন্য Far ব্যবহার করেছি, তবে আপনি এটি কমান্ড এবং পুটি উভয়ের মাধ্যমে বা "ডায়াগনস্টিক কমান্ড লাইন" বিভাগে pfSense ওয়েব ইন্টারফেসের মাধ্যমেও করতে পারেন।

এখন আমরা edit/create /etc/krb5.conf করতে পারি

যেখানে /etc/krb5.keytab আমাদের তৈরি কী ফাইল।

kinit ব্যবহার করে kerberos এর অপারেশন চেক করতে ভুলবেন না, যদি এটি কাজ না করে, তাহলে আর পড়ার কোন মানে নেই।

প্রমাণীকরণ ছাড়া স্কুইড প্রমাণীকরণ এবং অ্যাক্সেস তালিকা কনফিগার করা

সফলভাবে kerberos কনফিগার করার পরে, আমরা এটি আমাদের স্কুইডের সাথে বেঁধে দেব।

এটি করার জন্য, ServicesSquid প্রক্সি সার্ভারে যান এবং প্রধান সেটিংসে একেবারে নীচে যান, সেখানে আমরা "উন্নত সেটিংস" বোতামটি পাব।

কাস্টম বিকল্প (প্রমাণের আগে) ক্ষেত্রে, লিখুন:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

কোথায় auth_param নেগোসিয়েট প্রোগ্রাম /usr/local/libexec/squid/negotiate_kerberos_auth - আমাদের প্রয়োজন প্রমাণীকরণ kerberos সহায়ক নির্বাচন করে।

চাবি -s অর্থ সহ GSS_C_NO_NAME — কী ফাইল থেকে যেকোনো অ্যাকাউন্টের ব্যবহার সংজ্ঞায়িত করে।

চাবি -k অর্থ সহ /usr/local/etc/squid/squid.keytab - এই বিশেষ কীট্যাব ফাইলটি ব্যবহার করার জন্য নির্ধারণ করে। আমার ক্ষেত্রে, এটি একই কীট্যাব ফাইল যা আমরা তৈরি করেছি, যা আমি /usr/local/etc/squid/ ডিরেক্টরিতে অনুলিপি করেছি এবং এটির নাম পরিবর্তন করেছি, কারণ স্কুইড সেই ডিরেক্টরির সাথে বন্ধু হতে চায়নি, দৃশ্যত সেখানে ছিল না যথেষ্ট অধিকার।

চাবি -t অর্থ সহ - কোনোটিই না - ডোমেন কন্ট্রোলারের কাছে চক্রাকার অনুরোধগুলি নিষ্ক্রিয় করে, যা আপনার 50 টির বেশি ব্যবহারকারী থাকলে এটির উপর লোড ব্যাপকভাবে হ্রাস করে৷
পরীক্ষার সময়কালের জন্য, আপনি -d কী যোগ করতে পারেন - যেমন ডায়াগনস্টিকস, আরও লগ প্রদর্শিত হবে।
auth_param শিশুদের 1000 আলোচনা - কতগুলি একযোগে অনুমোদন প্রক্রিয়া চালানো যেতে পারে তা নির্ধারণ করে
auth_param আলোচনার_কেপ_লাইভ অন - অনুমোদন শৃঙ্খলের ভোটগ্রহণের সময় সংযোগ ভাঙ্গার অনুমতি দেয় না
acl auth proxy_auth আবশ্যক - একটি অ্যাক্সেস কন্ট্রোল তালিকা তৈরি করে এবং প্রয়োজন যাতে ব্যবহারকারীরা অনুমোদন পাস করেছে
acl nonauth dstdomain "/etc/squid/nonauth.txt" - আমরা স্কুইডকে ননউথ অ্যাক্সেস তালিকা সম্পর্কে অবহিত করি, যেটিতে গন্তব্য ডোমেন রয়েছে, যেখানে প্রত্যেককে সর্বদা অ্যাক্সেসের অনুমতি দেওয়া হবে। আমরা ফাইলটি নিজেই তৈরি করি এবং এর ভিতরে আমরা বিন্যাসে ডোমেন প্রবেশ করি

.whatsapp.com
.whatsapp.net

হোয়াটসঅ্যাপ একটি উদাহরণ হিসাবে ব্যবহার করা বৃথা নয় - এটি প্রমাণীকরণ সহ প্রক্সি সম্পর্কে খুব পছন্দের এবং প্রমাণীকরণের আগে এটি অনুমোদিত না হলে কাজ করবে না।
http_access মঞ্জুরি দেয় nonauth - প্রত্যেককে এই তালিকায় অ্যাক্সেসের অনুমতি দিন
http_access অস্বীকার !auth - আমরা অন্য সাইটগুলিতে অননুমোদিত ব্যবহারকারীদের অ্যাক্সেস নিষিদ্ধ করি৷
http_access অনুমোদন অনুমোদন - অনুমোদিত ব্যবহারকারীদের অ্যাক্সেসের অনুমতি দিন।
এটাই, স্কুইড নিজেই কনফিগার করা হয়েছে, এখন গ্রুপ দ্বারা ফিল্টারিং শুরু করার সময়।

স্কুইডগার্ড কনফিগার করা হচ্ছে

ServicesSquidGuard প্রক্সি ফিল্টারে যান।

এলডিএপি বিকল্পগুলিতে আমরা কার্বেরোস প্রমাণীকরণের জন্য ব্যবহৃত আমাদের অ্যাকাউন্টের ডেটা প্রবেশ করি, তবে নিম্নলিখিত বিন্যাসে:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

যদি স্পেস বা অ-ল্যাটিন অক্ষর থাকে, তাহলে এই সম্পূর্ণ এন্ট্রিটি একক বা ডবল উদ্ধৃতিতে আবদ্ধ করা উচিত:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

পরবর্তী, এই বাক্সগুলি চেক করতে ভুলবেন না:

অপ্রয়োজনীয় DOMAINpfsense কেটে ফেলার জন্য DOMAIN এর.স্থানীয় যার প্রতি সমগ্র সিস্টেম খুবই সংবেদনশীল।

এখন আমরা গ্রুপ Acl-এ যাই এবং আমাদের ডোমেন অ্যাক্সেস গ্রুপগুলিকে আবদ্ধ করি, আমি 0 পর্যন্ত গ্রুপ_1, গ্রুপ_3, ইত্যাদির মতো সাধারণ নাম ব্যবহার করি, যেখানে 3 শুধুমাত্র সাদা তালিকায় অ্যাক্সেস, এবং 0 - সবকিছুই সম্ভব।

গ্রুপগুলি নিম্নরূপ লিঙ্ক করা হয়েছে:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

আমাদের গ্রুপটি সেভ করুন, টাইমস-এ যান, সেখানে আমি একটি ফাঁক তৈরি করেছি যার অর্থ সবসময় কাজ করার জন্য, এখন টার্গেট ক্যাটাগরিগুলিতে যান এবং আমাদের বিবেচনার ভিত্তিতে তালিকা তৈরি করুন, তালিকা তৈরি করার পরে আমরা আমাদের গ্রুপে ফিরে আসি এবং গ্রুপের ভিতরে বোতাম দিয়ে আমরা নির্বাচন করি কে যেতে পারে। কোথায়, কে কোথায় পারে না।

LightSquid এবং sqstat

যদি কনফিগারেশন প্রক্রিয়া চলাকালীন আমরা স্কুইড সেটিংসে একটি লুপব্যাক নির্বাচন করি এবং আমাদের নেটওয়ার্ক এবং pfSense উভয়েই ফায়ারওয়ালে 7445 অ্যাক্সেস করার ক্ষমতা খুলে থাকি, তাহলে স্কুইড প্রক্সি রিপোর্ট ডায়াগনস্টিকসে যাওয়ার সময়, আমরা সহজেই sqstat এবং Lighsquid উভয়ই খুলতে পারি, পরবর্তীটির জন্য আমাদের প্রয়োজন হবে একই জায়গায়, একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড নিয়ে আসুন এবং একটি নকশা চয়ন করার সুযোগও রয়েছে।

পরিপূরণ

pfSense হল একটি অত্যন্ত শক্তিশালী টুল যা অনেক কিছু করতে পারে - ট্রাফিক প্রক্সি করা এবং ইন্টারনেটে ব্যবহারকারীর অ্যাক্সেসের উপর নিয়ন্ত্রণ উভয়ই পুরো কার্যকারিতার একটি ভগ্নাংশ, তবুও, 500টি মেশিন সহ একটি এন্টারপ্রাইজে, এটি সমস্যার সমাধান করেছে এবং সংরক্ষণ করা হয়েছে একটি প্রক্সি কেনা।

আমি আশা করি এই নিবন্ধটি কাউকে এমন একটি সমস্যা সমাধান করতে সাহায্য করবে যা মাঝারি এবং বড় উদ্যোগের জন্য বেশ প্রাসঙ্গিক।

উত্স: www.habr.com