ડોમેન અધિકૃતતા સાથે એન્ટરપ્રાઇઝ માટે મફત પ્રોક્સી સર્વર

https ફિલ્ટરિંગ સાથે pfSense+Squid + એક્ટિવ ડિરેક્ટરી ગ્રૂપ ફિલ્ટરિંગ સાથે સિંગલ સાઇન-ઓન (SSO)

સંક્ષિપ્ત પૃષ્ઠભૂમિ

કંપનીએ AD માંથી જૂથો દ્વારા સાઇટ્સની ઍક્સેસ (https સહિત) ફિલ્ટર કરવાની ક્ષમતા સાથે પ્રોક્સી સર્વરને અમલમાં મૂકવાની જરૂર હતી જેથી વપરાશકર્તાઓ કોઈપણ વધારાના પાસવર્ડ્સ દાખલ ન કરે, અને વેબ ઇન્ટરફેસથી સંચાલિત થઈ શકે. સારી એપ્લિકેશન, તે નથી?

સાચો જવાબ કેરીયો કંટ્રોલ અથવા યુઝરગેટ જેવા સોલ્યુશન્સ ખરીદવાનો હશે, પરંતુ હંમેશની જેમ પૈસા નથી, પણ જરૂર છે.

આ તે છે જ્યાં સારી જૂની સ્ક્વિડ બચાવમાં આવે છે, પરંતુ ફરીથી - હું વેબ ઇન્ટરફેસ ક્યાંથી મેળવી શકું? SAMS2? નૈતિક રીતે અપ્રચલિત. આ તે છે જ્યાં pfSense બચાવમાં આવે છે.

વર્ણન

આ લેખ સ્ક્વિડ પ્રોક્સી સર્વરને કેવી રીતે ગોઠવવું તેનું વર્ણન કરશે.
Kerberos નો ઉપયોગ વપરાશકર્તાઓને અધિકૃત કરવા માટે કરવામાં આવશે.
SquidGuard નો ઉપયોગ ડોમેન જૂથો દ્વારા ફિલ્ટર કરવા માટે કરવામાં આવશે.

મોનિટરિંગ માટે Lightsquid, sqstat અને આંતરિક pfSense મોનિટરિંગ સિસ્ટમ્સનો ઉપયોગ કરવામાં આવશે.
તે સિંગલ સાઈન-ઓન (SSO) ટેક્નોલોજીની રજૂઆત સાથે સંકળાયેલી એક સામાન્ય સમસ્યાને પણ હલ કરશે, એટલે કે એપ્લીકેશન કે જે તેમના સિસ્ટમ એકાઉન્ટ સાથે હોકાયંત્ર ખાતા હેઠળ ઈન્ટરનેટ સર્ફ કરવાનો પ્રયાસ કરે છે.

સ્ક્વિડ ઇન્સ્ટોલ કરવાની તૈયારી કરી રહ્યાં છીએ

pfSense ને આધાર તરીકે લેવામાં આવશે, સ્થાપન સૂચનો.

જેની અંદર અમે ડોમેન એકાઉન્ટ્સનો ઉપયોગ કરીને ફાયરવોલ પર ઓથેન્ટિકેશન ગોઠવીએ છીએ. સૂચના

ખુબ અગત્યનું!

તમે Squid ઇન્સ્ટોલ કરવાનું શરૂ કરો તે પહેલાં, તમારે DNS સર્વરને pfsense માં ગોઠવવાની જરૂર છે, અમારા DNS સર્વર પર તેના માટે A રેકોર્ડ અને PTR રેકોર્ડ બનાવવાની અને NTPને ગોઠવવાની જરૂર છે જેથી સમય ડોમેન નિયંત્રક પરના સમય કરતાં અલગ ન હોય.

અને તમારા નેટવર્ક પર, pfSense ના WAN ઈન્ટરફેસને ઈન્ટરનેટ પર જવાની અને સ્થાનિક નેટવર્ક પરના વપરાશકર્તાઓને 7445 અને 3128 પોર્ટ્સ (મારા કિસ્સામાં 8080) સહિત LAN ઈન્ટરફેસ સાથે કનેક્ટ થવાની ક્ષમતા પ્રદાન કરો.

બધું તૈયાર છે? શું LDAP કનેક્શન pfSense પર અધિકૃતતા માટે ડોમેન સાથે સ્થાપિત થયેલ છે અને સમય સમન્વયિત છે? મહાન. મુખ્ય પ્રક્રિયા શરૂ કરવાનો સમય છે.

સ્થાપન અને પૂર્વ રૂપરેખાંકન

"સિસ્ટમ/પેકેજ મેનેજર" વિભાગમાં pfSense પેકેજ મેનેજરમાંથી Squid, SquidGuard અને LightSquid ઇન્સ્ટોલ કરવામાં આવશે.

સફળ ઇન્સ્ટોલેશન પછી, "સેવાઓ / સ્ક્વિડ પ્રોક્સી સર્વર /" પર જાઓ અને સૌ પ્રથમ, સ્થાનિક કેશ ટેબમાં, કેશીંગને ગોઠવો, મેં બધું 0 પર સેટ કર્યું છે, કારણ કે મને કેશીંગ સાઇટ્સમાં વધુ બિંદુ દેખાતું નથી, બ્રાઉઝર્સ આ સાથે એક સરસ કામ કરે છે. સેટ કર્યા પછી, સ્ક્રીનના તળિયે "સેવ" બટન દબાવો અને આ અમને મૂળભૂત પ્રોક્સી સેટિંગ્સ બનાવવાની તક આપશે.

મુખ્ય સેટિંગ્સ નીચે મુજબ છે:

ડિફોલ્ટ પોર્ટ 3128 છે, પરંતુ હું 8080 નો ઉપયોગ કરવાનું પસંદ કરું છું.

પ્રોક્સી ઈન્ટરફેસ ટેબમાં પસંદ કરેલ પરિમાણો નક્કી કરે છે કે અમારું પ્રોક્સી સર્વર કયા ઈન્ટરફેસ પર સાંભળશે. આ ફાયરવોલ એવી રીતે બનેલ છે કે તે ઈન્ટરનેટ પર WAN ઈન્ટરફેસ તરીકે જુએ છે, તેમ છતાં LAN અને WAN એક જ સ્થાનિક સબનેટ પર હોઈ શકે છે, હું પ્રોક્સી માટે LAN નો ઉપયોગ કરવાની ભલામણ કરું છું.

sqstat કામ કરવા માટે લૂપબેક જરૂરી છે.

નીચે તમને પારદર્શક (પારદર્શક) પ્રોક્સી સેટિંગ્સ, તેમજ SSL ફિલ્ટર મળશે, પરંતુ અમને તેમની જરૂર નથી, અમારી પ્રોક્સી પારદર્શક રહેશે નહીં, અને https ફિલ્ટરિંગ માટે અમે પ્રમાણપત્રને બદલીશું નહીં (અમારી પાસે દસ્તાવેજ પ્રવાહ છે, બેંક ગ્રાહકો, વગેરે), ચાલો ફક્ત હેન્ડશેક જોઈએ.

આ તબક્કે, અમારે અમારા ડોમેન નિયંત્રક પર જવાની જરૂર છે, તેમાં એક પ્રમાણીકરણ ખાતું બનાવો (તમે પીએફસેન્સ પર જ પ્રમાણીકરણ માટે રૂપરેખાંકિત કરેલ એકનો ઉપયોગ પણ કરી શકો છો). અહીં એક ખૂબ જ મહત્વપૂર્ણ પરિબળ છે - જો તમે AES128 અથવા AES256 એન્ક્રિપ્શનનો ઉપયોગ કરવાનો ઇરાદો ધરાવો છો - તો તમારા એકાઉન્ટ સેટિંગ્સમાં યોગ્ય બૉક્સને ચેક કરો.

જો તમારું ડોમેન મોટી સંખ્યામાં ડિરેક્ટરીઓ સાથેનું ખૂબ જ જટિલ જંગલ છે અથવા તમારું ડોમેન .local છે, તો તે શક્ય છે, પરંતુ ચોક્કસ નથી કે તમારે આ એકાઉન્ટ માટે એક સરળ પાસવર્ડનો ઉપયોગ કરવો પડશે, ભૂલ જાણીતી છે, પરંતુ તે કદાચ જટિલ પાસવર્ડ સાથે કામ ન કરી શકે, તમારે ચોક્કસ ચોક્કસ કેસ તપાસવાની જરૂર છે.

તે પછી, અમે કર્બેરોસ માટે કી ફાઇલ બનાવીએ છીએ, ડોમેન કંટ્રોલર પર એડમિનિસ્ટ્રેટર અધિકારો સાથે કમાન્ડ પ્રોમ્પ્ટ ખોલીએ છીએ અને દાખલ કરીએ છીએ:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

જ્યાં અમે અમારું FQDN pfSense સૂચવીએ છીએ, કેસને માન આપવાની ખાતરી કરો, મેપ્યુઝર પેરામીટરમાં અમારું ડોમેન એકાઉન્ટ અને તેનો પાસવર્ડ દાખલ કરો, અને ક્રિપ્ટોમાં અમે એન્ક્રિપ્શન પદ્ધતિ પસંદ કરીએ છીએ, મેં કામ માટે rc4 નો ઉપયોગ કર્યો અને -આઉટ ફીલ્ડમાં અમે પસંદ કરીએ છીએ જ્યાં અમે અમારી ફિનિશ્ડ કી ફાઇલ મોકલશે.
કી ફાઇલ સફળતાપૂર્વક બનાવ્યા પછી, અમે તેને અમારા pfSense પર મોકલીશું, મેં આ માટે ફારનો ઉપયોગ કર્યો છે, પરંતુ તમે આ બંને આદેશો અને પુટ્ટી સાથે અથવા "ડાયગ્નોસ્ટિક્સ કમાન્ડ લાઇન" વિભાગમાં pfSense વેબ ઇન્ટરફેસ દ્વારા પણ કરી શકો છો.

હવે આપણે /etc/krb5.conf ને એડિટ/ક્રિએટ કરી શકીએ છીએ

જ્યાં /etc/krb5.keytab એ કી ફાઈલ છે જે આપણે બનાવી છે.

કિનિટનો ઉપયોગ કરીને કર્બેરોસની કામગીરી તપાસવાની ખાતરી કરો, જો તે કામ કરતું નથી, તો આગળ વાંચવાનો કોઈ અર્થ નથી.

પ્રમાણીકરણ વિના સ્ક્વિડ પ્રમાણીકરણ અને ઍક્સેસ સૂચિને ગોઠવી રહ્યું છે

કર્બેરોસ સફળતાપૂર્વક ગોઠવ્યા પછી, અમે તેને અમારા સ્ક્વિડ સાથે જોડીશું.

આ કરવા માટે, ServicesSquid Proxy Server પર જાઓ અને મુખ્ય સેટિંગ્સમાં ખૂબ જ નીચે જાઓ, ત્યાં આપણને "Advanced settings" બટન મળશે.

કસ્ટમ વિકલ્પો (ઓથ પહેલાં) ફીલ્ડમાં, દાખલ કરો:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

જ્યાં auth_param નેગોશિયેટ પ્રોગ્રામ /usr/local/libexec/squid/negotiate_kerberos_auth - અમને જરૂર હોય તે પ્રમાણીકરણ કર્બરોસ હેલ્પર પસંદ કરે છે.

કી -s અર્થ સાથે GSS_C_NO_NAME - કી ફાઇલમાંથી કોઈપણ ખાતાના ઉપયોગને વ્યાખ્યાયિત કરે છે.

કી -k અર્થ સાથે /usr/local/etc/squid/squid.keytab - આ ચોક્કસ કીટેબ ફાઇલનો ઉપયોગ કરવાનું નક્કી કરે છે. મારા કિસ્સામાં, આ એ જ કીટેબ ફાઇલ છે જે અમે બનાવી છે, જે મેં /usr/local/etc/squid/ ડિરેક્ટરીમાં કૉપિ કરી છે અને તેનું નામ બદલી નાખ્યું છે, કારણ કે સ્ક્વિડ તે ડિરેક્ટરી સાથે મિત્ર બનવા માંગતી ન હતી, દેખીતી રીતે ત્યાં નહોતા. પૂરતા અધિકારો.

કી -t અર્થ સાથે - કોઈ નહીં - ડોમેન નિયંત્રકને ચક્રીય વિનંતીઓને અક્ષમ કરે છે, જે જો તમારી પાસે 50 થી વધુ વપરાશકર્તાઓ હોય તો તેના પરના ભારને મોટા પ્રમાણમાં ઘટાડે છે.
પરીક્ષણના સમયગાળા માટે, તમે -d કી પણ ઉમેરી શકો છો - એટલે કે ડાયગ્નોસ્ટિક્સ, વધુ લૉગ્સ પ્રદર્શિત થશે.
auth_param બાળકો 1000 નેગોશિયેટ કરો - એક સાથે કેટલી અધિકૃતતા પ્રક્રિયાઓ ચલાવી શકાય તે નક્કી કરે છે
auth_param નેગોશિયેટ Keep_alive on - અધિકૃતતા સાંકળના મતદાન દરમિયાન જોડાણ તોડવાની મંજૂરી આપતું નથી
acl auth proxy_auth જરૂરી - એક્સેસ કંટ્રોલ લિસ્ટ બનાવે છે અને તેની જરૂર છે જેમાં અધિકૃતતા પસાર કરી ચૂકેલા વપરાશકર્તાઓનો સમાવેશ થાય છે
acl nonauth dstdomain "/etc/squid/nonauth.txt" - અમે સ્ક્વિડને નોનઅથ એક્સેસ લિસ્ટ વિશે માહિતગાર કરીએ છીએ, જેમાં ડેસ્ટિનેશન ડોમેન્સ હોય છે, જેમાં દરેકને હંમેશા એક્સેસ કરવાની મંજૂરી આપવામાં આવશે. અમે ફાઇલ પોતે બનાવીએ છીએ, અને તેની અંદર અમે ફોર્મેટમાં ડોમેન્સ દાખલ કરીએ છીએ

.whatsapp.com
.whatsapp.net

ઉદાહરણ તરીકે Whatsapp નો ઉપયોગ નિરર્થક નથી - તે પ્રમાણીકરણ સાથે પ્રોક્સી વિશે ખૂબ જ પસંદ કરે છે અને જો તેને પ્રમાણીકરણ પહેલાં મંજૂરી આપવામાં ન આવે તો તે કામ કરશે નહીં.
http_access નોનૌથને મંજૂરી આપો - દરેકને આ સૂચિની ઍક્સેસની મંજૂરી આપો
http_access નામંજૂર !auth - અમે અન્ય સાઇટ્સ પર અનધિકૃત વપરાશકર્તાઓની ઍક્સેસને પ્રતિબંધિત કરીએ છીએ
http_access ને મંજૂરી આપો - અધિકૃત વપરાશકર્તાઓને ઍક્સેસ કરવાની મંજૂરી આપો.
બસ, સ્ક્વિડ પોતે ગોઠવેલ છે, હવે જૂથો દ્વારા ફિલ્ટર કરવાનું શરૂ કરવાનો સમય છે.

SquidGuard રૂપરેખાંકિત કરી રહ્યા છીએ

ServicesSquidGuard Proxy Filter પર જાઓ.

એલડીએપી વિકલ્પોમાં આપણે કર્બરોસ ઓથેન્ટિકેશન માટે ઉપયોગમાં લેવાતા અમારા એકાઉન્ટનો ડેટા દાખલ કરીએ છીએ, પરંતુ નીચેના ફોર્મેટમાં:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

જો ત્યાં જગ્યાઓ અથવા બિન-લેટિન અક્ષરો હોય, તો આ સમગ્ર એન્ટ્રી સિંગલ અથવા ડબલ અવતરણોમાં બંધ હોવી જોઈએ:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

આગળ, આ બોક્સને ચેક કરવાની ખાતરી કરો:

બિનજરૂરી DOMAINpfsense કાપવા માટે DOMAIN.LOCAL જેના માટે સમગ્ર સિસ્ટમ ખૂબ જ સંવેદનશીલ છે.

હવે આપણે ગ્રુપ Acl પર જઈએ છીએ અને અમારા ડોમેન એક્સેસ જૂથોને બાંધીએ છીએ, હું 0 સુધી ગ્રુપ_1, ગ્રુપ_3, વગેરે જેવા સરળ નામોનો ઉપયોગ કરું છું, જ્યાં 3 એ ફક્ત સફેદ સૂચિની ઍક્સેસ છે, અને 0 - બધું શક્ય છે.

જૂથો નીચે પ્રમાણે જોડાયેલા છે:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

અમારું જૂથ સાચવો, ટાઇમ્સ પર જાઓ, ત્યાં મેં હંમેશા કામ કરવા માટે એક ગેપ બનાવ્યો, હવે ટાર્ગેટ કેટેગરીઝ પર જાઓ અને અમારી વિવેકબુદ્ધિથી સૂચિ બનાવો, યાદીઓ બનાવ્યા પછી અમે અમારા જૂથોમાં પાછા આવીએ છીએ અને જૂથની અંદર અમે બટનો વડે પસંદ કરીએ છીએ કે કોણ જઈ શકે. ક્યાં, અને કોણ ક્યાં કરી શકતા નથી.

LightSquid અને sqstat

જો રૂપરેખાંકન પ્રક્રિયા દરમિયાન અમે સ્ક્વિડ સેટિંગ્સમાં લૂપબેક પસંદ કર્યું છે અને અમારા નેટવર્ક પર અને pfSense બંને પર ફાયરવોલમાં 7445 ઍક્સેસ કરવાની ક્ષમતા ખોલી છે, તો પછી જ્યારે સ્ક્વિડ પ્રોક્સી રિપોર્ટ્સ ડાયગ્નોસ્ટિક્સ પર જઈએ, ત્યારે અમે સરળતાથી sqstat અને Lighsquid બંને ખોલી શકીએ છીએ, બાદમાં માટે અમને જરૂર પડશે તે જ જગ્યાએ, વપરાશકર્તાનામ અને પાસવર્ડ સાથે આવો, અને ડિઝાઇન પસંદ કરવાની તક પણ છે.

સમાપ્તિ

pfSense એ એક ખૂબ જ શક્તિશાળી સાધન છે જે ઘણું બધું કરી શકે છે - બંને ટ્રાફિક પ્રોક્સીંગ અને ઇન્ટરનેટ પર વપરાશકર્તાની ઍક્સેસ પર નિયંત્રણ એ સમગ્ર કાર્યક્ષમતાનો માત્ર એક અંશ છે, તેમ છતાં, 500 મશીનો સાથેના એન્ટરપ્રાઇઝમાં, આ સમસ્યાનું નિરાકરણ લાવે છે અને સાચવવામાં આવે છે. પ્રોક્સી ખરીદવી.

હું આશા રાખું છું કે આ લેખ કોઈને એવી સમસ્યા હલ કરવામાં મદદ કરશે જે મધ્યમ અને મોટા સાહસો માટે તદ્દન સુસંગત છે.

સોર્સ: www.habr.com