pfSense+Squid https-suodatuksella + Kertakirjautuminen (SSO) Active Directory -ryhmäsuodatuksella
Lyhyt tausta
Yrityksen oli otettava käyttöön välityspalvelin, joka pystyy suodattamaan pääsyn sivustoille (mukaan lukien https) AD:n ryhmien mukaan, jotta käyttäjät eivät syötä ylimääräisiä salasanoja, ja sitä voidaan hallita verkkoliittymästä. Hyvä sovellus, eikö?
Oikea vastaus olisi ostaa ratkaisuja kuten Kerio Control tai UserGate, mutta kuten aina, rahaa ei ole, mutta tarvetta on.
Tässä vanha kunnon Squid tulee apuun, mutta jälleen - mistä saan verkkokäyttöliittymän? SAMS2? Moraalisesti vanhentunut. Tässä pfSense tulee apuun.
Kuvaus
Tässä artikkelissa kuvataan, kuinka Squid-välityspalvelin määritetään.
Kerberosia käytetään käyttäjien valtuutukseen.
SquidGuardia käytetään verkkotunnusryhmien suodattamiseen.
Valvontaan käytetään Lightsquid-, sqstat- ja sisäisiä pfSense-valvontajärjestelmiä.
Se ratkaisee myös yleisen ongelman, joka liittyy SSO (Single Sign-on) -tekniikan käyttöönottoon, nimittäin sovellukset, jotka yrittävät surffata Internetissä kompassitilin alla järjestelmätilillään.
Valmistellaan Squidin asennusta
pfSense otetaan perustana,
Sen sisällä järjestämme todennuksen itse palomuurissa käyttämällä verkkotunnustilejä.
Erittäin tärkeää!
Ennen kuin aloitat Squidin asennuksen, sinun on määritettävä DNS-palvelin pfsensessä, tehtävä sille A-tietue ja PTR-tietue DNS-palvelimellamme ja määritettävä NTP niin, että aika ei poikkea toimialueen ohjaimen ajasta.
Ja anna verkossasi mahdollisuus pfSensen WAN-rajapinnalle siirtyä Internetiin ja paikallisverkon käyttäjille mahdollisuus muodostaa yhteys LAN-liitäntään, mukaan lukien portit 7445 ja 3128 (minun tapauksessani 8080).
Onko kaikki valmis? Onko LDAP-yhteys muodostettu toimialueen kanssa valtuutusta varten pfSense-palvelussa ja aika synkronoitu? Loistava. On aika aloittaa pääprosessi.
Asennus ja esikonfigurointi
Squid, SquidGuard ja LightSquid asennetaan pfSense-paketinhallinnasta "Järjestelmä-/Pakettihallinta"-osiossa.
Menestyneen asennuksen jälkeen siirry kohtaan "Palvelut / Squid Proxy server /" ja ensin Paikallinen välimuisti -välilehdellä määritä välimuisti, asetan kaiken arvoon 0, koska En näe paljon järkeä sivustojen välimuistissa, selaimet tekevät hyvää työtä tämän kanssa. Asetuksen jälkeen paina "Tallenna"-painiketta näytön alareunassa ja tämä antaa meille mahdollisuuden tehdä välityspalvelimen perusasetukset.
Pääasetukset ovat seuraavat:
Oletusportti on 3128, mutta käytän mieluummin 8080:ta.
Välityspalvelinliittymä-välilehden valitut parametrit määrittävät, mitä rajapintoja välityspalvelimemme kuuntelee. Koska tämä palomuuri on rakennettu siten, että se näyttää Internetissä WAN-rajapinnalta, vaikka LAN ja WAN voivat olla samassa paikallisessa aliverkossa, suosittelen käyttämään välityspalvelimena lähiverkkoa.
Takaisinkytkentä tarvitaan, jotta sqstat toimii.
Alta löydät Transparent (läpinäkyvä) proxy-asetukset sekä SSL-suodattimen, mutta emme tarvitse niitä, välityspalvelimemme ei ole läpinäkyvä, emmekä https-suodatukseen vaihda varmennetta (meillä on dokumenttikulku, pankki asiakkaat jne.), katsotaanpa vain kättelyä.
Tässä vaiheessa meidän on siirryttävä toimialueen ohjaimeen, luotava siihen todennustili (voit myös käyttää sitä, joka on määritetty todennusta varten itse pfSensessä). Tässä on erittäin tärkeä tekijä - jos aiot käyttää AES128- tai AES256-salausta - valitse asianmukaiset ruudut tilisi asetuksista.
Jos verkkotunnuksesi on erittäin monimutkainen metsä, jossa on paljon hakemistoja tai verkkotunnuksesi on .local, on MAHDOLLISTA, mutta ei varmaa, että joudut käyttämään yksinkertaista salasanaa tälle tilille, vika on tiedossa, mutta se ei välttämättä toimi monimutkaisen salasanan kanssa, sinun on tarkistettava tietty tapaus.
Sen jälkeen luomme avaintiedoston kerberosille, avaa komentokehote järjestelmänvalvojan oikeuksilla toimialueen ohjaimessa ja kirjoita:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Kun osoitamme FQDN pfSense, muista kunnioittaa tapausta, syötä verkkotunnuksemme ja sen salasana mapuser-parametriin, ja kryptossa valitsemme salausmenetelmän, käytin rc4:ää töihin ja -out-kentässä valitsemme, missä lähettää valmiin avaintiedostomme.
Kun avaintiedosto on luotu onnistuneesti, lähetämme sen pfSenseemme, käytin tähän Faria, mutta voit tehdä tämän myös sekä komennoilla että kitillä tai pfSense-verkkoliittymän kautta "Diagnostiikan komentorivi" -osiossa.
Nyt voimme muokata/luoda /etc/krb5.conf
jossa /etc/krb5.keytab on luomamme avaintiedosto.
Muista tarkistaa kerberoksen toiminta kinitillä, jos se ei toimi, ei ole mitään järkeä lukea lisää.
Squid-todennuksen ja käyttöoikeusluettelon määrittäminen ilman todennusta
Kun kerberos on määritetty onnistuneesti, kiinnitämme sen Squidiimme.
Voit tehdä tämän siirtymällä ServicesSquid-välityspalvelimeen ja menemällä pääasetuksissa alas alas, sieltä löydät painikkeen "Lisäasetukset".
Kirjoita Mukautetut asetukset (ennen todennusta) -kenttään:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authmissä auth_param neuvotteluohjelma /usr/local/libexec/squid/negotiate_kerberos_auth - valitsee tarvitsemamme todennuskerberos-apuohjelman.
avain -s merkityksen kanssa GSS_C_NO_NAME — määrittää minkä tahansa avaintiedoston tilin käytön.
avain -k merkityksen kanssa /usr/local/etc/squid/squid.keytab - päättää käyttää tätä tiettyä keytab-tiedostoa. Minun tapauksessani tämä on sama keytab-tiedosto, jonka loimme ja jonka kopioin /usr/local/etc/squid/ hakemistoon ja nimesin sen uudelleen, koska squid ei halunnut olla ystäviä tuon hakemiston kanssa, ilmeisesti niitä ei ollut. tarpeeksi oikeuksia.
avain -t merkityksen kanssa - ei yhtään - poistaa käytöstä sykliset pyynnöt toimialueen ohjaimelle, mikä vähentää huomattavasti sen kuormitusta, jos sinulla on yli 50 käyttäjää.
Testin ajaksi voit myös lisätä -d-näppäimen - eli diagnostiikka, lisää lokeja näytetään.
auth_param neuvotella lapsia 1000 - määrittää kuinka monta samanaikaista valtuutusprosessia voidaan ajaa
auth_param neuvotella keep_alive päällä - ei salli yhteyden katkeamista valtuutusketjun kyselyn aikana
acl auth proxy_auth PAKOLLINEN - luo ja vaatii pääsynhallintaluettelon, joka sisältää valtuutuksen läpäisseet käyttäjät
acl nonauth dstdomain "/etc/squid/nonauth.txt" - ilmoitamme kalmarille nonauth-käyttöoikeusluettelosta, joka sisältää kohdealueita, joihin kaikilla on aina pääsy. Luomme itse tiedoston ja syötämme sen sisään verkkotunnukset muodossa
.whatsapp.com
.whatsapp.net
Whatsappia ei käytetä turhaan esimerkkinä - se on erittäin nirso todennuksen kanssa varustetun välityspalvelimen suhteen, eikä se toimi, jos sitä ei sallita ennen todennusta.
http_access salli nonauth - Salli pääsy tähän luetteloon kaikille
http_access deny !auth - estämme luvattomien käyttäjien pääsyn muille sivustoille
http_access salli todennus - salli pääsy valtuutetuille käyttäjille.
Siinä kaikki, itse kalmari on määritetty, nyt on aika aloittaa suodatus ryhmien mukaan.
SquidGuardin määrittäminen
Siirry kohtaan ServicesSquidGuard Proxy Filter.
LDAP-asetuksiin syötetään kerberos-todennukseen käytetyt tilimme tiedot, mutta seuraavassa muodossa:
CN=pfsense,OU=service-accounts,DC=domain,DC=localJos on välilyöntejä tai muita kuin latinalaisia merkkejä, tämä koko merkintä tulee laittaa lainausmerkkeihin tai lainausmerkkeihin:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Muista seuraavaksi valita nämä ruudut:
Tarpeettoman DOMAINpfsensen katkaiseminen .LOCAL jolle koko järjestelmä on erittäin herkkä.
Nyt siirrymme Group Acl:iin ja sidomme verkkotunnuksen käyttöoikeusryhmämme, käytän yksinkertaisia nimiä, kuten ryhmä_0, ryhmä_1 jne. 3 asti, jossa 3 on pääsy vain sallittujen luetteloon ja 0 - kaikki on mahdollista.
Ryhmät on linkitetty seuraavasti:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))Tallenna ryhmämme, siirry Timesiin, siellä loin yhden aukon, mikä tarkoittaa, että se toimii aina, mene nyt Kohdekategorioihin ja luo luettelot harkintamme mukaan. Kun luettelot on luotu, palaamme ryhmiimme ja ryhmän sisällä, käytä painikkeita valitaksesi kuka voi mennä minne ja kuka ei minne.
LightSquid ja sqstat
Jos valitsimme konfigurointiprosessin aikana squid-asetuksista takaisinkytkennän ja avasimme palomuurissa mahdollisuuden käyttää 7445:tä sekä verkossamme että itse pfSensessä, niin kun siirrymme Squid-välityspalvelinraporttien diagnostiikkaan, voimme helposti avata sekä sqstatin että Lightsquid, jälkimmäiseen tarvitsemme Samassa paikassa, keksi käyttäjätunnus ja salasana, ja on myös mahdollisuus valita malli.
Valmistuminen
pfSense on erittäin tehokas työkalu, jolla voidaan tehdä monia asioita - sekä liikenteen välityspalvelin että käyttäjien pääsy Internetiin ovat vain murto-osa koko toiminnallisuudesta, kuitenkin 500 koneen yrityksessä tämä ratkaisi ongelman ja säästää välityspalvelimen ostaminen.
Toivon, että tämä artikkeli auttaa jotakuta ratkaisemaan ongelman, joka on varsin tärkeä keskisuurille ja suurille yrityksille.
Lähde: will.com