pfSense + Squid cù filtru https + Tecnulugia di sign-on unicu (SSO) cù filtru per gruppi di Active Directory
Brief background
L'impresa avia bisognu di implementà un servitore proxy cù a capacità di filtrà l'accessu à i siti (inclusi https) da i gruppi da AD, per chì l'utilizatori ùn anu micca inseritu micca password supplementari, è l'amministrazione puderia esse fatta da l'interfaccia web. Ùn hè micca una mala applicazione, ùn hè micca?
A risposta curretta seria di cumprà suluzioni cum'è Kerio Control o UserGate, ma cum'è sempre ùn ci hè micca soldi, ma ci hè bisognu.
Hè quì chì u bonu vechju Squid vene à u nostru salvamentu, ma di novu, induve possu uttene l'interfaccia web? SAMS2? Moralmente anticu. Questu hè induve pfSense vene in salvezza.
discrizzione
Questu articulu descriverà cumu cunfigurà un servitore proxy Squid.
Kerberos serà utilizatu per auturizà l'utilizatori.
SquidGuard serà utilizatu per filtrà per gruppi di duminiu.
Lightsquid, sqstat è sistemi di monitoraghju pfSense internu seranu utilizati per u monitoraghju.
Un prublema cumuni assuciatu cù l'implementazione di a tecnulugia di signu unicu (SSO) serà ancu risoltu, vale à dì l'applicazioni chì provanu à accede à Internet sottu u contu bussola di u so contu di sistema.
Preparazione per installà Squid
pfSense serà usatu cum'è una basa,
Dentru di quale urganizemu l'autentificazione à u firewall stessu utilizendu cunti di duminiu.
Hè impurtante!
Prima di inizià a stallazione di Squid, avete bisognu di cunfigurà u servitore DNS in pfsense, fate un registru A è PTR record per ellu nantu à u nostru servitore DNS è cunfigurà NTP per chì u tempu ùn sia micca diffirenti da u tempu nantu à u controller di duminiu.
È in a vostra reta, furnisce l'abilità per l'interfaccia pfSense WAN per accede à Internet, è per l'utilizatori nantu à a reta lucale per cunnette à l'interfaccia LAN, ancu via u portu 7445 è 3128 (in u mo casu, 8080).
Tuttu hè prontu? Hè u duminiu cunnessu via LDAP per l'autorizazione nantu à pfSense è u tempu hè sincronizatu? Perfettu. Hè u tempu di inizià u prucessu principale.
Installazione è pre-configurazione
Stallaremu Squid, SquidGuard è LightSquid da u gestore di pacchetti pfSense in a sezione "System / Package Manager".
Dopu a stallazione successu, andate à "Servizi / Servitore Squid Proxy /" è prima di tuttu, in a tabulazione Cache Locale, cunfigurà u caching, aghju stabilitu tuttu à 0, perchè Ùn vecu micca assai puntu in i siti di cache; i navigatori gestiscenu questu bè. Dopu à a cunfigurazione, appughjà u buttone "Salvà" in u fondu di u screnu è questu ci darà l'uppurtunità di fà i paràmetri di basa di proxy.
I paràmetri principali sò i seguenti:
U portu predeterminatu hè 3128, ma preferimu aduprà 8080.
I paràmetri selezziunati in a tabulazione Interfaccia Proxy determinanu quali interfacce ascolterà u nostru servitore proxy. Siccomu stu firewall hè custruitu in tale manera chì vede l'Internet attraversu l'interfaccia WAN, ancu s'è a LAN è a WAN pò esse in a listessa subnet locale, ricumandemu di utilizà a LAN per u proxy.
Loopback hè necessariu per sqstat per travaglià.
Quì sottu truverete i paràmetri di proxy trasparente, è ancu u filtru SSL, ma ùn ne avemu micca bisognu, u nostru proxy ùn serà micca trasparente, è per u filtru https ùn avemu micca trattatu di a sustituzione di certificatu (dopu à tuttu, avemu a gestione di documenti). , clienti bancari, etc.), Fighjemu solu a stretta di manu.
In questu stadiu, avemu bisognu à andà à u nostru controller di duminiu, creà un contu in questu per l'autentificazione (pudete ancu aduprà quellu chì avete cunfiguratu per l'autentificazione in pfSense stessu). Un fattore assai impurtante quì hè chì se avete intenzione d'utilizà a criptografia AES128 o AES256, verificate e caselle appropritate in i paràmetri di u vostru contu.
Se u vostru duminiu hè un boscu assai cumplessu cù un gran numaru di cartulari o u vostru duminiu hè .local, allora POSSIBILE, ma micca sicuru, avete da aduprà una password simplice per questu contu, u bug hè cunnisciutu, ma cun un cumplessu. password pò simpricimenti ùn funziona, avete bisognu di verificà un casu individuale specificu.
Dopu tuttu questu, creamu un schedariu chjave per Kerberos, nantu à u controller di duminiu, apre un prompt di cumanda cù diritti di amministratore è entre:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Induve indicà u nostru FQDN pfSense, assicuratevi di rispettà u casu, in u paràmetru mapuser entremu in u nostru contu di duminiu è a so password, è in criptu selezziunà u metudu di criptografia, aghju utilizatu rc4 per u travagliu è in u campu -out selezziunate induve manderemu u nostru schedariu chjave ready-made.
Dopu à crià successu u schedariu chjave, avemu da mandà à u nostru pfSense, I usatu Far per questu, ma pudete ancu fà questu cù cumandamenti, putty o attraversu l'interfaccia web pfSense in a rùbbrica "DiagnosticsCommand Line".
Avà pudemu edità create /etc/krb5.conf
induve /etc/krb5.keytab hè u schedariu chjave chì avemu creatu.
Assicuratevi di verificà l'operazione di Kerberos cù kinit; se ùn funziona micca, ùn ci hè nunda di leghje più.
Configurazione di l'autenticazione Squid è a lista d'accessu senza autentificazione
Dopu avè cunfiguratu bè Kerberos, l'attacheremu à u nostru Squid.
Per fà questu, andate à ServicesSquid Proxy Server è in i paràmetri principali, andate à u fondu, ci truvemu u buttone "Configurazione avanzata".
In u campu Opzioni Personalizzate (Prima di Auth), entre:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authinduve auth_param negotiate prugramma /usr/local/libexec/squid/negotiate_kerberos_auth - selezziunate l'assistente di autentificazione Kerberos chì avemu bisognu.
Chjave -s cun significatu GSS_C_NO_NAME - determina l'usu di qualsiasi contu da u schedariu chjave.
Chjave -k cun significatu /usr/local/etc/squid/squid.keytab - determina à utilizà stu schedariu di keytab particulare. In u mo casu, questu hè u stessu schedariu keytab chì avemu creatu, chì aghju copiatu in u cartulare /usr/local/etc/squid/ è cambiatu u nome, perchè u calamaru ùn vulia micca esse amici cù quellu repertoriu, apparentemente ùn aghju micca. avè abbastanza diritti.
Chjave -t cun significatu - nimu - disattiva e dumande cícliche à u cuntrollu di u duminiu, chì riduce assai a carica nantu à questu si avete più di 50 utilizatori.
Durante a prova, pudete ancu aghjunghje l'interruttore -d - vale à dì diagnostichi, più logs seranu visualizati.
auth_param negoziate i zitelli 1000 - determina quanti prucessi d'autorizazione simultanei ponu esse lanciati
auth_param negoziate keep_alive on - impedisce a cunnessione da esse disconnected mentre polling a catena d'autorizazione
acl auth proxy_auth REQUIRED - crea è richiede una lista di cuntrollu di accessu chì include l'utilizatori autorizati
acl nonauth dstdomain "/etc/squid/nonauth.txt" - avemu infurmatu à i calamari nantu à a lista d'accessu nonauth, chì cuntene domini di destinazione à quale tutti seranu sempre permessi di accessu. Creemu u schedariu stessu, è entre in i domini in u formatu
.whatsapp.com
.whatsapp.net
Whatsapp hè usatu cum'è un esempiu per una ragione - hè assai esigenti nantu à i proxy di autentificazione è ùn funziona micca s'ellu ùn hè micca permessu prima di l'autentificazione.
http_access permette nonauth - permette l'accessu à sta lista per tutti
http_access deny !auth - pruibitemu l'accessu à altri siti per l'utilizatori micca autorizati
http_access permettenu auth - permette l'accessu à l'utilizatori autorizati.
Hè questu, u Squid stessu hè cunfiguratu, avà hè u tempu di principià a filtrazione per gruppi.
Installazione di SquidGuard
Andà à ServicesSquidGuard Proxy Filter.
In Opzioni LDAP entremu i dettagli di u nostru contu utilizatu per l'autentificazione Kerberos, ma in u formatu seguente:
CN=pfsense,OU=service-accounts,DC=domain,DC=localS'ellu ci sò spazii o caratteri non latini, sta entrata sana deve esse chjusa in virgulette singuli o doppie:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Dopu, assicuratevi di verificà queste caselle:
Per taglià DOMAINpfsense inutile .LOCAL à quale tuttu u sistema hè assai sensibile.
Avà andemu à Group Acl è ligà i nostri gruppi d'accessu à u duminiu, aghju utilizatu nomi simplici cum'è group_0, group_1, etc. finu à 3, induve 3 significa accessu solu à a lista bianca, è 0 significa chì tuttu hè pussibule.
I gruppi sò ligati cusì:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))salvemu u nostru gruppu, andemu à Times, ci aghju creatu una lacuna chì significa chì sempre hà da travaglià, avà andemu à Target Categories è creanu listi à a nostra discrezione, dopu avè creatu i listi vultemu à i nostri gruppi è in u gruppu usemu i buttoni. per selezziunà quale pò andà induve è quale ùn pò andà induve.
LightSquid è sqstat
Se durante u prucessu di cunfigurazione avemu sceltu loopback in i paràmetri di calamar è hà apertu l'abilità di accede à 7445 in u firewall sia in a nostra reta è in pfSense stessu, allora quandu andemu à DiagnosticsSquid Proxy Reports pudemu facilmente apre sqstat è Lighsquid, per u Ultimi avemu bisognu Ci si pò cullà cù un login è password, è pudete puru sceglie un disignu.
Finalizazione
pfSense hè un strumentu assai putente chì pò fà assai cose - proxy u trafficu è u cuntrollu di l'accessu di l'utilizatori à Internet hè solu un granu di tutta a funziunalità, in ogni modu, in una impresa cù 500 machini, hà risoltu u prublema è ci hà permessu di salvà. nantu à a compra di un proxy.
Spergu chì questu articulu aiuterà qualcunu à risolve un prublema chì hè abbastanza pertinente per l'imprese medie è grande.
Source: www.habr.com