pfSense+Squid gyda hidlo https + Technoleg mewngofnodi sengl (SSO) gyda hidlo gan grwpiau Active Directory
Cefndir cryno
Roedd angen i'r fenter weithredu gweinydd dirprwy gyda'r gallu i hidlo mynediad i wefannau (gan gynnwys https) gan grwpiau o AD, fel na fyddai defnyddwyr yn mynd i mewn i unrhyw gyfrineiriau ychwanegol, a gellid gwneud gweinyddiaeth o'r rhyngwyneb gwe. Ddim yn gais gwael, ynte?
Yr ateb cywir fyddai prynu atebion fel Kerio Control neu UserGate, ond fel bob amser nid oes arian, ond mae angen.
Dyma lle mae hen Sgwid yn dod i'n hachub, ond eto, ble alla i gael y rhyngwyneb gwe? SAM2? Yn foesol hen ffasiwn. Dyma lle mae pfSense yn dod i'r adwy.
Disgrifiad
Bydd yr erthygl hon yn disgrifio sut i ffurfweddu gweinydd dirprwy Squid.
Bydd Kerberos yn cael ei ddefnyddio i awdurdodi defnyddwyr.
Bydd SquidGuard yn cael ei ddefnyddio i hidlo yn ôl grwpiau parth.
Bydd systemau monitro Lightsquid, sqstat a pfSense mewnol yn cael eu defnyddio ar gyfer monitro.
Bydd problem gyffredin sy'n gysylltiedig â gweithredu technoleg mewngofnodi sengl (SSO) hefyd yn cael ei datrys, sef cymwysiadau sy'n ceisio cyrchu'r Rhyngrwyd o dan gyfrif cwmpawd eu cyfrif system.
Paratoi i osod Squid
Bydd pfSense yn cael ei ddefnyddio fel sail,
Y tu mewn i hyn rydym yn trefnu dilysu i'r wal dân ei hun gan ddefnyddio cyfrifon parth.
Pwysig iawn!
Cyn i chi ddechrau gosod Squid, mae angen i chi ffurfweddu'r gweinydd DNS yn pfsense, gwneud cofnod A a chofnod PTR ar ei gyfer ar ein gweinydd DNS a ffurfweddu NTP fel nad yw'r amser yn wahanol i'r amser ar y rheolydd parth.
Ac yn eich rhwydwaith, darparwch y gallu i ryngwyneb WAN pfSense gael mynediad i'r Rhyngrwyd, ac i ddefnyddwyr ar y rhwydwaith lleol gysylltu â'r rhyngwyneb LAN, gan gynnwys trwy borthladd 7445 a 3128 (yn fy achos i, 8080).
Y cyfan yn barod? A yw'r parth wedi'i gysylltu trwy LDAP i'w awdurdodi ar pfSense ac a yw'r amser wedi'i gysoni? Gwych. Mae'n bryd dechrau'r brif broses.
Gosod a rhag-gyflunio
Byddwn yn gosod Squid, SquidGuard a LightSquid o'r rheolwr pecyn pfSense yn yr adran “Rheolwr System / Pecyn”.
Ar ôl gosod yn llwyddiannus, ewch i “Gwasanaethau / gweinydd dirprwy Squid /” ac yn gyntaf oll, yn y tab Cache Lleol, ffurfweddu caching, gosodais bopeth i 0, oherwydd Nid wyf yn gweld llawer o bwynt mewn caching gwefannau; mae porwyr yn trin hyn yn iawn. Ar ôl gosod, pwyswch y botwm “Cadw” ar waelod y sgrin a bydd hyn yn rhoi cyfle i ni wneud gosodiadau dirprwy sylfaenol.
Mae'r prif osodiadau fel a ganlyn:
Y porthladd rhagosodedig yw 3128, ond mae'n well gen i ddefnyddio 8080.
Mae'r paramedrau a ddewiswyd yn y tab Rhyngwyneb Dirprwyol yn pennu pa ryngwynebau y bydd ein gweinydd dirprwyol yn gwrando arnynt. Gan fod y wal dân hon wedi'i hadeiladu yn y fath fodd fel ei bod yn edrych ar y Rhyngrwyd trwy'r rhyngwyneb WAN, er y gallai'r LAN a'r WAN fod ar yr un is-rwydwaith lleol, rwy'n argymell defnyddio'r LAN ar gyfer y dirprwy.
Mae angen loopback er mwyn i sqstat weithio.
Isod fe welwch y gosodiadau dirprwy Tryloyw, yn ogystal â'r Hidlo SSL, ond nid oes eu hangen arnom, ni fydd ein dirprwy yn dryloyw, ac ar gyfer hidlo https ni fyddwn yn delio ag amnewid tystysgrif (wedi'r cyfan, mae gennym reolaeth dogfennau , cleientiaid banc, ac ati), Gadewch i ni edrych ar yr ysgwyd llaw.
Ar y cam hwn, mae angen i ni fynd at ein rheolwr parth, creu cyfrif ynddo i'w ddilysu (gallwch hefyd ddefnyddio'r un y gwnaethoch chi ei ffurfweddu ar gyfer dilysu ar pfSense ei hun). Ffactor pwysig iawn yma yw os ydych chi'n bwriadu defnyddio amgryptio AES128 neu AES256, gwiriwch y blychau priodol yn eich gosodiadau cyfrif.
Os yw'ch parth yn goedwig gymhleth iawn gyda nifer fawr o gyfeiriaduron neu os yw'ch parth yn .local, yna YN BOSIBL, ond nid yn sicr, bydd yn rhaid i chi ddefnyddio cyfrinair syml ar gyfer y cyfrif hwn, mae'r nam yn hysbys, ond gyda chymhleth cyfrinair efallai na fydd yn gweithio, mae angen gwirio achos unigol penodol.
Ar ôl hyn i gyd, rydym yn creu ffeil allweddol ar gyfer Kerberos, ar y rheolwr parth, agorwch anogwr gorchymyn gyda hawliau gweinyddwr a nodwch:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Lle rydyn ni'n nodi ein FQDN pfSense, gwnewch yn siŵr eich bod chi'n parchu'r achos, yn y paramedr mapuser rydyn ni'n mynd i mewn i'n cyfrif parth a'i gyfrinair, ac yn crypto rydyn ni'n dewis y dull amgryptio, defnyddiais rc4 ar gyfer gwaith ac yn y maes -out rydyn ni'n dewis ble byddwn yn anfon ein ffeil allwedd parod.
Ar ôl creu'r ffeil allweddol yn llwyddiannus, byddwn yn ei hanfon at ein pfSense, defnyddiais Far ar gyfer hyn, ond gallwch hefyd wneud hyn gan ddefnyddio gorchmynion, pwti neu drwy'r rhyngwyneb gwe pfSense yn yr adran “DiagnosticsCommand Line”.
Nawr gallwn olygu creu /etc/krb5.conf
lle /etc/krb5.keytab yw'r ffeil allweddol a grëwyd gennym.
Gwnewch yn siŵr eich bod yn gwirio gweithrediad Kerberos gan ddefnyddio kinit; os nad yw'n gweithio, nid oes unrhyw ddiben darllen ymhellach.
Ffurfweddu Dilysu Sgwid a Dim Rhestr Mynediad Dilysu
Ar ôl ffurfweddu Kerberos yn llwyddiannus, byddwn yn ei gysylltu â'n Sgwid.
I wneud hyn, ewch i ServicesSquid Proxy Server ac yn y prif osodiadau, ewch i'r gwaelod iawn, yno byddwn yn dod o hyd i'r botwm "Gosodiadau Uwch".
Yn y maes Dewisiadau Personol (Cyn Auth), nodwch:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authlle auth_param trafod rhaglen /usr/local/libexec/squid/negotiate_kerberos_auth — yn dewis y cynorthwyydd dilysu Kerberos sydd ei angen arnom.
Allwedd -s ag ystyr GSS_C_NO_NAME — yn pennu'r defnydd o unrhyw gyfrif o'r ffeil allweddol.
Allwedd -k ag ystyr /usr/local/etc/squid/squid.keytab — yn penderfynu defnyddio'r ffeil tab bysell benodol hon. Yn fy achos i, dyma'r un ffeil keytab a gynhyrchwyd gennym, a gopïais i'r cyfeiriadur /usr/local/etc/squid/ a'i hailenwi oherwydd nad oedd y sgwid eisiau bod yn ffrindiau â'r cyfeiriadur hwnnw, mae'n debyg nad oedd gennyf digon o hawliau.
Allwedd -t ag ystyr -t dim — yn analluogi ceisiadau cylchol i'r rheolwr parth, sy'n lleihau'r llwyth arno yn fawr os oes gennych chi fwy na 50 o ddefnyddwyr.
Yn ystod y prawf, gallwch hefyd ychwanegu'r switsh -d - h.y. diagnosteg, bydd mwy o gofnodion yn cael eu harddangos.
auth_param trafod plant 1000 — yn pennu faint o brosesau awdurdodi cydamserol y gellir eu lansio
auth_param trafod keep_alive on — yn atal y cysylltiad rhag cael ei ddatgysylltu wrth bleidleisio ar y gadwyn awdurdodi
acl auth proxy_auth GOFYNNOL — yn creu ac yn gofyn am restr rheoli mynediad sy'n cynnwys defnyddwyr awdurdodedig
acl nonauth dstdomain "/etc/squid/nonauth.txt" — rydym yn hysbysu'r sgwid am y rhestr mynediad nonauth, sy'n cynnwys parthau cyrchfan y bydd pawb bob amser yn cael mynediad iddynt. Rydyn ni'n creu'r ffeil ei hun, ac yn nodi'r parthau y tu mewn iddi yn y fformat
.whatsapp.com
.whatsapp.net
Defnyddir Whatsapp fel enghraifft am reswm - mae'n bigog iawn am ddirprwyon dilysu ac ni fydd yn gweithio os na chaniateir iddo gael ei ddilysu cyn y dilysu.
http_access yn caniatáu nonauth — caniatáu mynediad i'r rhestr hon i bawb
http_access gwadu!auth — rydym yn gwahardd mynediad i wefannau eraill ar gyfer defnyddwyr anawdurdodedig
http_access caniatáu awdurdod — caniatáu mynediad i ddefnyddwyr awdurdodedig.
Dyna ni, mae'r Sgwid ei hun wedi'i ffurfweddu, nawr mae'n bryd dechrau hidlo fesul grwpiau.
Sefydlu SquidGuard
Ewch i Hidlo Procsi ServicesSquidGuard.
Yn Opsiynau LDAP rydym yn nodi manylion ein cyfrif a ddefnyddir ar gyfer dilysu Kerberos, ond yn y fformat canlynol:
CN=pfsense,OU=service-accounts,DC=domain,DC=localOs oes bylchau neu nodau nad ydynt yn Lladin, dylid amgáu'r cofnod cyfan hwn mewn dyfyniadau sengl neu ddwbl:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Nesaf, gwnewch yn siŵr eich bod yn gwirio'r blychau hyn:
I dorri i ffwrdd DOMAINpfsense diangen .LLEOL y mae'r system gyfan yn sensitif iawn iddo.
Nawr, gadewch i ni fynd i Group Acl a rhwymo ein grwpiau mynediad parth, rwy'n defnyddio enwau syml fel group_0, group_1, ac ati hyd at 3, lle mae 3 yn golygu mynediad i'r rhestr wen yn unig, ac mae 0 yn golygu bod popeth yn bosibl.
Mae’r grwpiau wedi’u cysylltu fel a ganlyn:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))rydyn ni'n achub ein grŵp, ewch i Times, yno fe wnes i greu un bwlch sy'n golygu y bydd bob amser yn gweithio, nawr rydyn ni'n mynd i Gategorïau Targed ac yn creu rhestrau yn ôl ein disgresiwn, ar ôl creu'r rhestrau rydyn ni'n dychwelyd i'n grwpiau ac o fewn y grŵp rydyn ni'n defnyddio botymau i ddewis pwy all fynd ble a phwy na all fynd ble .
LightSquid a sqstat
Os byddwn yn ystod y broses sefydlu wedi dewis loopback yn y gosodiadau sgwid ac wedi agor y gallu i gael mynediad at 7445 yn y wal dân ar ein rhwydwaith ac ar pfSense ei hun, yna pan fyddwn yn mynd i DiagnosticsSquid Proxy Reports gallwn agor sqstat a Lighsquid yn hawdd, ar gyfer y olaf bydd angen i ni Yno, gallwch chi ddod o hyd i fewngofnodi a chyfrinair, a gallwch hefyd ddewis dyluniad.
Cwblhau
Mae pfSense yn offeryn pwerus iawn sy'n gallu gwneud llawer o bethau - dim ond gronyn o'r holl ymarferoldeb yw dirprwyo traffig a rheoli mynediad defnyddwyr i'r Rhyngrwyd, fodd bynnag, mewn menter gyda 500 o beiriannau, fe ddatrysodd y broblem a chaniatáu i ni arbed ar brynu dirprwy.
Rwy'n gobeithio y bydd yr erthygl hon yn helpu rhywun i ddatrys problem sy'n eithaf perthnasol ar gyfer mentrau canolig a mawr.
Ffynhonnell: hab.com