ProHoster > Pūnaewele > Nā Administration > He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

pfSense+Squid me ka kānana https + Single sign-on (SSO) me ke kānana pūʻulu Active Directory

He pōkole hope

Pono ka hui e hoʻokō i kahi kikowaena proxy me ka hiki ke kānana i ke komo ʻana i nā pūnaewele (me ka https) e nā hui mai AD i ʻole e hoʻokomo nā mea hoʻohana i nā huaʻōlelo hou, a hiki ke lawelawe ʻia mai ka ʻaoʻao pūnaewele. Maikaʻi ka noi, ʻaʻole anei?

ʻO ka pane pololei e kūʻai i nā hoʻonā e like me Kerio Control a i ʻole UserGate, akā e like me ka manawa ʻaʻohe kālā, akā aia kahi pono.

ʻO kēia kahi e hele mai ai ka Squid kahiko maikaʻi e hoʻopakele, akā hou - ma hea e loaʻa ai iaʻu kahi kikowaena pūnaewele? SAMS2? ʻAʻole pono. ʻO kēia kahi e hele mai ai ka pfSense e hoʻopakele.

hōʻikeʻano

E wehewehe kēia ʻatikala pehea e hoʻonohonoho ai i ka server proxy Squid.
E hoʻohana ʻia ʻo Kerberos e ʻae i nā mea hoʻohana.
E hoʻohana ʻia ʻo SquidGuard e kānana e nā hui kikowaena.

Lightsquid, sqstat a me nā ʻōnaehana nānā pfSense kūloko e hoʻohana ʻia no ka nānā ʻana.
E hoʻoponopono pū ia i kahi pilikia maʻamau e pili ana i ka hoʻokomo ʻana i ka ʻenehana hōʻailona hoʻokahi (SSO), ʻo ia hoʻi nā noi e hoʻāʻo e heʻenalu i ka Pūnaewele ma lalo o ka waihona panana me kā lākou moʻokāki.

Hoʻomākaukau e hoʻokomo i ka Squid

E lawe ʻia ka pfSense i kumu, Nā kuhikuhi hoʻonohonoho.

Ma loko kahi mākou e hoʻonohonoho ai i ka hōʻoia ma ka pā ahi me ka hoʻohana ʻana i nā moʻokāki domain. Nā kuhikuhi.

Mea nui loa!

Ma mua o kou hoʻomaka ʻana e hoʻokomo i ka Squid, pono ʻoe e hoʻonohonoho i ka server DNS ma pfsense, e hana i kahi moʻolelo A a me kahi moʻolelo PTR no ia mea ma kā mākou kikowaena DNS, a hoʻonohonoho i ka NTP i ʻokoʻa ka manawa mai ka manawa ma ka mea hoʻokele domain.

A ma kāu pūnaewele, hāʻawi i ka hiki no ka WAN interface o pfSense e hele i ka Pūnaewele, a me nā mea hoʻohana ma ka pūnaewele kūloko e hoʻopili i ka interface LAN, me nā awa 7445 a me 3128 (i koʻu hihia 8080).

Ua mākaukau nā mea a pau? Ua hoʻokumu ʻia ka pilina LDAP me ka waihona no ka ʻae ʻia ma pfSense a ua hoʻonohonoho ʻia ka manawa? Nui. ʻO ka manawa kēia e hoʻomaka ai i ka hana nui.

Hoʻokomo a hoʻonohonoho mua

E hoʻokomo ʻia ʻo Squid, SquidGuard a me LightSquid mai ka luna pfSense package ma ka ʻāpana "System / Package Manager".

Ma hope o ka hoʻokomo maikaʻi ʻana, e hele i "Services / Squid Proxy server /" a ʻo ka mea mua, ma ka ʻaoʻao Local Cache, hoʻonohonoho i ka caching, hoʻonoho wau i nā mea āpau i 0, no ka mea ʻAʻole wau i ʻike i ka nui o nā wahi i ka cache pūnaewele, hana maikaʻi nā mākaʻikaʻi me kēia. Ma hope o ka hoʻonohonoho ʻana, e kaomi i ke pihi "Save" ma lalo o ka pale a hāʻawi kēia iā mākou i ka manawa e hana i nā hoʻonohonoho proxy kumu.

ʻO nā hoʻonohonoho nui penei:

He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

ʻO 3128 ka awa paʻamau, akā makemake wau e hoʻohana i ka 8080.

ʻO nā ʻāpana i koho ʻia ma ka pā Kūlana Proxy e hoʻoholo ai i nā pilina e hoʻolohe ai kā mākou kikowaena proxy. No ka mea, ua kūkulu ʻia kēia pā ahi i ke ʻano e nānā ai ma ka Pūnaewele ma ke ʻano he WAN interface, ʻoiai hiki i ka LAN a me WAN ma ka subnet kūloko like, paipai wau e hoʻohana i ka LAN no ka mea koho.

Pono ka Loopback no ka sqstat e hana.

Ma lalo ʻoe e ʻike ai i nā hoʻonohonoho proxy Transparent (transparent), a me SSL Filter, akā ʻaʻole pono mākou iā lākou, ʻaʻole maopopo kā mākou mea koho, a no ka kānana https ʻaʻole mākou e pani i ka palapala hōʻoia (loaʻa iā mākou ke kahe palapala, panakō. nā mea kūʻai aku, a me nā mea ʻē aʻe), e nānā wale kākou i ka lulu lima.

I kēia manawa, pono mākou e hele i kā mākou mea hoʻokele domain, e hana i kahi moʻokāki hōʻoia i loko (hiki iā ʻoe ke hoʻohana i ka mea i hoʻonohonoho ʻia no ka hōʻoia ma ka pfSense ponoʻī). Eia kahi mea koʻikoʻi - inā makemake ʻoe e hoʻohana i ka encryption AES128 a i ʻole AES256 - e nānā i nā pahu kūpono i kāu hoʻonohonoho moʻokāki.

Inā he ululāʻau paʻakikī kāu kikowaena me ka nui o nā papa kuhikuhi a i ʻole kāu kikowaena .local, a laila POSSIBLE, akā ʻaʻole maopopo, pono ʻoe e hoʻohana i kahi huaʻōlelo maʻalahi no kēia moʻokāki, ʻike ʻia ka bug, akā ʻo ia. ʻAʻole paha e hana me kahi ʻōlelo huna paʻakikī, pono ʻoe e nānā i kahi hihia kikoʻī.

He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

Ma hope o kēlā, hana mākou i kahi faila kī no kerberos, wehe i kahi kauoha kauoha me nā kuleana luna hoʻomalu ma ka mea hoʻokele domain a komo:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

Ma kahi e hōʻike ai mākou i kā mākou FQDN pfSense, e mālama pono i ka hihia, e hoʻokomo i kā mākou moʻokāki domain a me kāna ʻōlelo huna ma ka mapuser parameter, a ma ka crypto mākou e koho i ke ʻano hoʻopunipuni, ua hoʻohana wau i ka rc4 no ka hana a ma ke kahua -out mākou e koho ai i kahi a mākou. e hoʻouna i kā mākou faila kī i hoʻopau ʻia.
Ma hope o ka hoʻokumu ʻana i ka faila kī, e hoʻouna mākou iā ia i kā mākou pfSense, ua hoʻohana wau iā Far no kēia, akā hiki iā ʻoe ke hana i kēia me nā kauoha a me ka putty a i ʻole ma o ka pūnaewele pfSense ma ka ʻāpana "Diagnostics Command Line".

I kēia manawa hiki iā mākou ke hoʻoponopono/hana /etc/krb5.conf

He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

kahi /etc/krb5.keytab ka faila kī a mākou i hana ai.

E nānā pono i ka hana o nā kerberos me ke kinit, inā ʻaʻole ia e hana, ʻaʻohe kumu o ka heluhelu ʻana.

Ka hoʻonohonoho ʻana i ka Squid Authentication and Access List me ka ʻole o ka hōʻoia

Ma hope o ka hoʻonohonoho pono ʻana i nā kerberos, e hoʻopaʻa mākou iā ia i kā mākou Squid.

No ka hana ʻana i kēia, e hele i ServicesSquid Proxy Server a ma nā hoʻonohonoho nui e iho i lalo i lalo, ma laila mākou e ʻike ai i ke pihi "Advanced Settings".

I loko o ke kahua Koho Kuʻuna (Ma mua o ka Auth), e komo:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

i hea papahana kūkākūkā auth_param /usr/local/libexec/squid/negotiate_kerberos_auth - koho i ka hōʻoia kerberos kōkua mākou e pono ai.

Kaomi -s me ke ano GSS_C_NO_NAME - wehewehe i ka hoʻohana ʻana i kekahi moʻokāki mai ka faila kī.

Kaomi -k me ke ano /usr/local/etc/squid/squid.keytab - hoʻoholo e hoʻohana i kēia faila keytab. I koʻu hihia, ʻo ia ka faila keytab like a mākou i hana ai, aʻu i kope ai i ka /usr/local/etc/squid/ directory a kapa hou ʻia, no ka mea ʻaʻole makemake ka hee e hoaaloha me kēlā papa kuhikuhi, ʻike ʻia ʻaʻole. lawa pono.

Kaomi -t me ke ano -ʻaʻohe - hoʻopau i nā noi cyclic i ka mea hoʻokele domain, kahi e hōʻemi nui ai i ka ukana inā loaʻa iā ʻoe ma mua o 50 mau mea hoʻohana.
No ka lōʻihi o ka hoʻāʻo, hiki iā ʻoe ke hoʻohui i ke kī -d - ʻo ia hoʻi nā diagnostics, e hōʻike ʻia nā lāʻau hou aku.
Auth_param kūkākūkā keiki 1000 - hoʻoholo i ka nui o nā kaʻina hana ʻae hiki ke holo
Auth_param kūkākūkā e mālama_alive ma - ʻaʻole ʻae e wāwahi i ka pilina i ka wā koho balota o ke kaulahao mana
acl auth proxy_auth AKOIA - hana a koi aku i kahi papa inoa mana e komo ai nā mea hoʻohana i hala i ka ʻae
acl nonauth dstdomain "/etc/squid/nonauth.txt" - hōʻike mākou i ka hee e pili ana i ka papa inoa nonauth access, aia i loko o nā kāʻei kapu, kahi e ʻae mau ʻia ai nā mea a pau. Hoʻokumu mākou i ka faila ponoʻī, a i loko o ia mea mākou e hoʻokomo i nā kāʻei i ke ʻano

.whatsapp.com
.whatsapp.net

ʻAʻole makehewa ʻo Whatsapp ma ke ʻano he laʻana - he koho nui loa ia e pili ana i ka proxy me ka hōʻoia a ʻaʻole e hana inā ʻaʻole ʻae ʻia ma mua o ka hōʻoia.
http_access ʻae iā nonauth - e ʻae ke komo i kēia papa inoa i nā mea a pau
http_access hoole !auth - pāpā mākou i ke komo ʻana i nā mea hoʻohana ʻae ʻole i nā pūnaewele ʻē aʻe
http_access ʻae i ka ʻae - e ʻae i ke komo ʻana i nā mea hoʻohana ʻae ʻia.
ʻO ia, ua hoʻonohonoho pono ʻia ka hee, ʻo ia ka manawa e hoʻomaka ai e kānana e nā hui.

Ke hoʻonohonoho nei i ka SquidGuard

E hele i ServicesSquidGuard Proxy Filter.

Ma nā koho LDAP mākou e hoʻokomo i ka ʻikepili o kā mākou moʻokāki i hoʻohana ʻia no ka hōʻoia kerberos, akā ma kēia ʻano:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

Inā loaʻa nā hakahaka a i ʻole nā ​​huaʻōlelo Latina, pono e hoʻopaʻa ʻia kēia helu holoʻokoʻa i loko o nā huaʻōlelo hoʻokahi a ʻelua paha:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

A laila, e nānā pono i kēia mau pahu:

He kikowaena proxy manuahi no ka ʻoihana me ka ʻae ʻāina

E ʻoki i ka DOMAINpfsense pono ʻole DOMAIN.LOCAL kahi i maʻalahi loa ka ʻōnaehana holoʻokoʻa.

I kēia manawa, hele mākou i ka Group Acl a hoʻopaʻa i kā mākou mau pūʻulu komo pūnaewele, hoʻohana wau i nā inoa maʻalahi e like me group_0, group_1, etc. a hiki i 3, kahi e hiki ai iā 3 ke komo wale i ka papa inoa keʻokeʻo, a me 0 - hiki i nā mea āpau.

Hoʻopili ʻia nā hui penei:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

e mālama i kā mākou hui, e hele i Times, ma laila wau i hana ai i hoʻokahi āpau ʻo ia ka mea e hana mau ana, i kēia manawa e hele i Target Categories a hana i nā papa inoa ma kā mākou manaʻo, ma hope o ka hana ʻana i nā papa inoa e hoʻi mākou i kā mākou hui a i loko o ka hui, e hoʻohana i nā pihi e koho. ʻO wai ka mea hiki ke hele i hea, a ʻo wai ka hiki ʻole ke hele i kahi .

LightSquid a me sqstat

Inā i ka wā o ka hoʻonohonoho hoʻonohonoho ua koho mākou i kahi loopback i nā hoʻonohonoho squid a wehe i ka hiki ke komo i ka 7445 i ka pā ahi ma kā mākou pūnaewele a ma pfSense ponoʻī, a laila ke hele mākou i ka Diagnostics of Squid Proxy Reports, hiki iā mākou ke wehe maʻalahi i ka sqstat a me Lighsquid, no ka mea hope mākou e pono ai Ma kahi hoʻokahi, e hele mai me kahi inoa inoa a me ka ʻōlelo huna, a aia hoʻi ka manawa e koho ai i kahi hoʻolālā.

Ka pauʻana

He mea hana ikaika loa ka pfSense e hiki ke hana i nā mea he nui - ʻo ka proxying traffic a me ka hoʻomalu ʻana i ka loaʻa ʻana o ka mea hoʻohana i ka Pūnaewele he hapa wale nō ia o ka hana holoʻokoʻa, akā naʻe, i loko o kahi ʻoihana me nā mīkini 500, ua hoʻopau kēia i ka pilikia a mālama ʻia. ke kūʻai ʻana i kahi koho.

Manaʻo wau e kōkua kēia ʻatikala i kekahi e hoʻoponopono i kahi pilikia e pili pono ana i nā ʻoihana waena a me nā ʻoihana nui.

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka