pfSense+Squid le sìoladh https + Soidhnigeadh singilte (SSO) le sìoladh buidheann Active Directory
Cùl-fhiosrachadh goirid
Dh’ fheumadh a’ chompanaidh frithealaiche progsaidh a chuir an gnìomh leis a’ chomas ruigsinneachd gu làraich (a’ gabhail a-steach https) a shìoladh le buidhnean bho AD gus nach cuir luchd-cleachdaidh a-steach faclan-faire a bharrachd, agus gun gabh an rianachd bhon eadar-aghaidh lìn. Iarrtas math, nach e?
Is e am freagairt ceart fuasglaidhean a cheannach leithid Kerio Control no UserGate, ach mar as àbhaist chan eil airgead ann, ach tha feum air.
Seo far a bheil an seann Squid math a 'tighinn gu teasairginn, ach a-rithist - càite am faigh mi eadar-aghaidh lìn? SAMS2? Moralta air a dhol à bith. Seo far a bheil pfSense a’ tighinn gu teasairginn.
Tuairisgeul
Bheir an artaigil seo cunntas air mar a rèiticheas tu am frithealaiche progsaidh Squid.
Thèid Kerberos a chleachdadh gus luchd-cleachdaidh a cheadachadh.
Thèid SquidGuard a chleachdadh airson sìoladh le buidhnean fearainn.
Thèid siostaman sgrùdaidh Lightsquid, sqstat agus pfSense a-staigh a chleachdadh airson sgrùdadh.
Fuasglaidh e cuideachd duilgheadas cumanta co-cheangailte ri toirt a-steach teicneòlas soidhnidh singilte (SSO), is e sin tagraidhean a bhios a ’feuchainn ri surfadh air an eadar-lìn fon chunntas combaist leis a’ chunntas siostam aca.
Ag ullachadh airson stàladh Squid
thèid pfSense a ghabhail mar bhunait,
Taobh a-staigh a bhios sinn a 'cur air dòigh dearbhadh air a' bhalla-teine fhèin a 'cleachdadh cunntasan fearainn.
Tha e glè chudromach!
Mus tòisich thu a’ stàladh Squid, feumaidh tu am frithealaiche DNS a rèiteachadh ann am pfsense, clàr A agus clàr PTR a dhèanamh air a shon air an t-seirbheisiche DNS againn, agus NTP a rèiteachadh gus nach bi an ùine eadar-dhealaichte bhon àm air rianadair an àrainn.
Agus air an lìonra agad, thoir comas don eadar-aghaidh WAN de pfSense a dhol chun eadar-lìn, agus luchd-cleachdaidh air an lìonra ionadail gus ceangal ris an eadar-aghaidh LAN, a’ toirt a-steach puirt 7445 agus 3128 (na mo chùis 8080).
A bheil a h-uile dad deiseil? A bheil an ceangal LDAP air a stèidheachadh leis an àrainn airson ùghdarrachadh air pfSense agus an ùine air a shioncronachadh? Sgoinneil. Tha an t-àm ann am prìomh phròiseas a thòiseachadh.
Stàladh agus ro-rèiteachadh
Thèid Squid, SquidGuard agus LightSquid a chuir a-steach bhon mhanaidsear pacaid pfSense anns an roinn “System / Package Manager”.
Às deidh an stàladh soirbheachail, rachaibh gu “Services / Squid Proxy server /” agus an toiseach, anns an tab Cache Ionadail, rèitich caching, shuidhich mi a h-uile càil gu 0, oir Chan eil mi a’ faicinn mòran puing ann a bhith a’ tasgadh làraich, bidh brobhsairean a’ dèanamh obair mhath le seo. Às deidh dhut a shuidheachadh, brùth air a’ phutan “Sàbhail” aig bonn na sgrìn agus bheir seo cothrom dhuinn roghainnean bunaiteach progsaidh a dhèanamh.
Tha na prìomh shuidheachaidhean mar a leanas:
Is e 3128 am port bunaiteach, ach is fheàrr leam 8080 a chleachdadh.
Bidh na paramadairean taghte anns an taba eadar-aghaidh proxy a’ dearbhadh dè na h-eadar-aghaidh a bhios ar frithealaiche progsaidh ag èisteachd. Leis gu bheil am balla-teine seo air a thogail ann an dòigh is gum bi e a ’coimhead air an eadar-lìn mar eadar-aghaidh WAN, eadhon ged a dh’ fhaodas LAN agus WAN a bhith air an aon subnet ionadail, tha mi a ’moladh LAN a chleachdadh airson an neach-ionaid.
Tha feum air loopback airson sqstat a bhith ag obair.
Gu h-ìosal lorgaidh tu na roghainnean proxy Transparent (follaiseach), a bharrachd air SSL Filter, ach chan eil feum againn orra, cha bhith an neach-ionaid againn follaiseach, agus airson sìoladh https cha chuir sinn an teisteanais an àite (tha sruth sgrìobhainnean againn, banca luchd-dèiligidh, msaa), leig dhuinn dìreach coimhead air a’ chrathadh làimhe.
Aig an ìre seo, feumaidh sinn a dhol chun rianadair fearainn againn, cruthaich cunntas dearbhaidh ann (faodaidh tu cuideachd am fear a chaidh a dhealbhadh airson dearbhadh air pfSense fhèin a chleachdadh). Seo feart glè chudromach - ma tha thu am beachd crioptachadh AES128 no AES256 a chleachdadh - thoir sùil air na bogsaichean iomchaidh ann an roghainnean a’ chunntais agad.
Ma tha an àrainn agad na choille gu math toinnte le àireamh mhòr de chlàran-seòlaidh no ma tha an àrainn agad .local, tha e POSSIBLE, ach chan eil e cinnteach, gum feum thu facal-faire sìmplidh a chleachdadh airson a’ chunntais seo, tha fios air a’ bhuga, ach tha e is dòcha nach obraich e le facal-faire iom-fhillte, feumaidh tu sgrùdadh a dhèanamh air cùis shònraichte sònraichte.
Às deidh sin, cruthaichidh sinn prìomh fhaidhle airson kerberos, fosgail àithne gu sgiobalta le còraichean rianadair air rianadair an àrainn agus cuir a-steach:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Far a bheil sinn a’ comharrachadh ar FQDN pfSense, bi cinnteach gun toir thu urram don chùis, cuir a-steach ar cunntas fearainn agus am facal-faire aige ann am paramadair mapuser, agus ann an crypto bidh sinn a’ taghadh an dòigh crioptachaidh, chleachd mi rc4 airson obair agus anns an raon -out bidh sinn a’ taghadh far a bheil sinn cuiridh sinn am prìomh fhaidhle crìochnaichte againn.
Às deidh dhuinn am prìomh fhaidhle a chruthachadh gu soirbheachail, cuiridh sinn chun pfSense againn e, chleachd mi Far airson seo, ach faodaidh tu cuideachd seo a dhèanamh an dà chuid le òrdughan agus putty no tro eadar-aghaidh lìn pfSense anns an roinn “Loidhne-àithne Diagnostics”.
A-nis is urrainn dhuinn a dheasachadh / cruthachadh /etc/krb5.conf
far a bheil /etc/krb5.keytab am prìomh fhaidhle a chruthaich sinn.
Dèan cinnteach gun dèan thu sgrùdadh air obrachadh kerberos a’ cleachdadh kinit, mura h-eil e ag obair, chan eil feum air tuilleadh leughaidh.
A’ rèiteachadh Liosta Dearbhaidh Squid agus Ruigsinneachd gun Dearbhadh
Às deidh dhuinn kerberos a rèiteachadh gu soirbheachail, bidh sinn ga cheangal ris an Squid againn.
Gus seo a dhèanamh, a dhol gu ServicesSquid Proxy Server agus anns na prìomh shuidheachaidhean a 'dol sìos chun a' bhonn, an sin gheibh sinn am putan "Roghainnean adhartach".
Anns an raon Custom Options (Ron Auth), cuir a-steach:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authcàite auth_param barganachadh prògram /usr/local/libexec/squid/negotiate_kerberos_auth - taghaidh an neach-cuideachaidh dearbhaidh kerberos a dh’ fheumas sinn.
Prìomh -s le ciall GSS_C_NO_NAME - a’ mìneachadh cleachdadh cunntas sam bith bhon phrìomh fhaidhle.
Prìomh -k le ciall /usr/local/etc/squid/squid.keytab - a’ co-dhùnadh am faidhle keytab sònraichte seo a chleachdadh. Anns a 'chùis agam, is e seo an aon fhaidhle keytab a chruthaich sinn, a rinn mi lethbhreac dhan / usr / local / etc / squid / eòlaire agus thug mi ath-ainm air, oir cha robh an squid airson a bhith càirdeil leis an eòlaire sin, a rèir coltais cha robh còraichean gu leòr.
Prìomh -t le ciall -t gin - cuir à comas iarrtasan cuairteachaidh gu rianadair na h-àrainn, a lughdaicheas gu mòr an luchd air ma tha barrachd air 50 neach-cleachdaidh agad.
Airson ùine na deuchainn, faodaidh tu cuideachd an iuchair -d a chuir ris - ie diagnosachd, thèid barrachd logaichean a thaisbeanadh.
auth_param barganachadh clann 1000 - a’ dearbhadh cia mheud pròiseas ceadachaidh aig an aon àm a dh’ fhaodar a ruith
auth_param co-rèiteachadh keep_alive on - chan eil e a’ ceadachadh an ceangal a bhriseadh aig àm bhòtaidh an t-sèine ùghdarrais
acl auth proxy_auth ROIMH-RADH - a’ cruthachadh agus a’ feumachdainn liosta smachd ruigsinneachd a tha a’ toirt a-steach luchd-cleachdaidh a tha air cead fhaighinn
acl nonauth dstdomain "/etc/squid/nonauth.txt" - bidh sinn ag innse don squid mun liosta ruigsinneachd nonauth, anns a bheil raointean cinn-uidhe, air am faigh a h-uile duine cothrom an-còmhnaidh. Bidh sinn a’ cruthachadh am faidhle fhèin, agus na bhroinn bidh sinn a’ cuir a-steach raointean anns a’ chruth
.whatsapp.com
.whatsapp.net
Chan eil Whatsapp gu dìomhain air a chleachdadh mar eisimpleir - tha e gu math piocach mun neach-ionaid le dearbhadh agus chan obraich e mura h-eil e ceadaichte mus tèid a dhearbhadh.
http_access a’ ceadachadh nonauth - leig leis a h-uile duine faighinn chun liosta seo
http_access àicheadh!auth - bidh sinn a’ toirmeasg ruigsinneachd do luchd-cleachdaidh gun chead gu làraich eile
http_access cead a thoirt dha ùghdar - cothrom a thoirt do luchd-cleachdaidh ùghdarraichte.
Sin e, tha an squid fhèin air a rèiteachadh, a-nis tha an t-àm ann tòiseachadh air sìoladh le buidhnean.
A' rèiteachadh SquidGuard
Rach gu ServicesSquidGuard Proxy Filter.
Ann an Roghainnean LDAP cuiridh sinn a-steach dàta a’ chunntais againn a chaidh a chleachdadh airson dearbhadh kerberos, ach anns a’ chruth a leanas:
CN=pfsense,OU=service-accounts,DC=domain,DC=localMa tha beàrnan no caractaran neo-Laideannach ann, bu chòir an inntrig iomlan seo a chuartachadh ann an luachan singilte no dùbailte:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"An ath rud, dèan cinnteach gun cuir thu sùil air na bogsaichean seo:
Gus DOMAINpfsense neo-riatanach a ghearradh dheth .LOCAL ris a bheil an siostam gu lèir gu math mothachail.
A-nis bidh sinn a 'dol gu Group Acl agus a' ceangal ar buidhnean ruigsinneachd fearainn, bidh mi a 'cleachdadh ainmean sìmplidh mar group_0, group_1, msaa suas gu 3, far a bheil 3 a' faighinn a-steach don liosta gheal a-mhàin, agus 0 - tha a h-uile dad comasach.
Tha buidhnean ceangailte mar a leanas:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))sàbhail ar buidheann, rachaibh gu Times, an sin chruthaich mi aon bheàrn a tha a’ ciallachadh gum bi e an-còmhnaidh ag obair, a-nis rach gu Roinnean Targaid agus cruthaich liostaichean a rèir ar toil, às deidh dhuinn na liostaichean a chruthachadh a thilleas sinn gu na buidhnean againn agus taobh a-staigh na buidhne, cleachd na putanan airson taghadh cò dh'fhaodas a dhol far an robh, agus cò nach urrainn a dhol far a bheil.
LightSquid agus sqstat
Ma thagh sinn rè a’ phròiseas rèiteachaidh lùb anns na roghainnean squid agus gun do dh’ fhosgail sinn an comas faighinn gu 7445 sa bhalla-teine an dà chuid air an lìonra againn agus air pfSense fhèin, an uairsin nuair a thèid sinn gu Squid Proxy Reports Diagnostics, is urrainn dhuinn an dà chuid sqstat agus Lighsquid fhosgladh gu furasta, airson an fheadhainn mu dheireadh bidh feum againn air Anns an aon àite, thig suas le ainm-cleachdaidh agus facal-faire, agus tha cothrom ann cuideachd dealbhadh a thaghadh.
Crìochnachadh
Tha pfSense na inneal fìor chumhachdach as urrainn tòrr rudan a dhèanamh - chan eil anns an dà chuid neach-ionaid trafaic agus smachd air ruigsinneachd luchd-cleachdaidh air an eadar-lìn ach bloigh den ghnìomhachd iomlan, a dh’ aindeoin sin, ann an iomairt le 500 inneal, dh ’fhuasgail seo an duilgheadas agus shàbhail e air. ceannach neach-ionaid.
Tha mi an dòchas gun cuidich an artaigil seo cuideigin gus fuasgladh fhaighinn air duilgheadas a tha gu math buntainneach airson iomairtean meadhanach agus mòr.
Source: www.habr.com