डोमेन प्राधिकरण के साथ एंटरप्राइज़ के लिए मुफ़्त प्रॉक्सी सर्वर

pfSense+Squid https फ़िल्टरिंग के साथ + सिंगल साइन-ऑन (SSO) सक्रिय निर्देशिका समूह फ़िल्टरिंग के साथ

संक्षिप्त पृष्ठभूमि

कंपनी को AD से समूहों द्वारा साइटों (https सहित) तक पहुंच को फ़िल्टर करने की क्षमता के साथ एक प्रॉक्सी सर्वर को लागू करने की आवश्यकता थी ताकि उपयोगकर्ता कोई अतिरिक्त पासवर्ड दर्ज न करें, और वेब इंटरफ़ेस से प्रशासित किया जा सके। अच्छा अनुप्रयोग, है ना?

सही उत्तर केरियो कंट्रोल या यूजरगेट जैसे समाधान खरीदना होगा, लेकिन हमेशा की तरह पैसा नहीं है, लेकिन जरूरत है।

यह वह जगह है जहां अच्छा पुराना स्क्वीड बचाव के लिए आता है, लेकिन फिर - मुझे वेब इंटरफेस कहां मिल सकता है? SAMS2? नैतिक रूप से अप्रचलित। यहीं पर पीएफसेंस बचाव के लिए आता है।

विवरण

यह आलेख वर्णन करेगा कि स्क्वीड प्रॉक्सी सर्वर को कैसे कॉन्फ़िगर किया जाए।
Kerberos का उपयोग उपयोगकर्ताओं को अधिकृत करने के लिए किया जाएगा।
SquidGuard का उपयोग डोमेन समूहों द्वारा फ़िल्टर करने के लिए किया जाएगा।

निगरानी के लिए लाइट्सक्विड, एसक्यूस्टैट और इंटरनल पीएफसेंस मॉनिटरिंग सिस्टम का इस्तेमाल किया जाएगा।
यह सिंगल साइन-ऑन (SSO) तकनीक की शुरुआत से जुड़ी एक आम समस्या को भी हल करेगा, अर्थात् ऐसे अनुप्रयोग जो अपने सिस्टम खाते के साथ कम्पास खाते के तहत इंटरनेट पर सर्फ करने का प्रयास करते हैं।

स्क्वीड लगाने की तैयारी

pfSense को आधार के रूप में लिया जाएगा, स्थापना निर्देश।

जिसके अंदर हम डोमेन खातों का उपयोग करके फ़ायरवॉल पर ही प्रमाणीकरण की व्यवस्था करते हैं। निर्देश।

यह बहुत महत्वपूर्ण है!

इससे पहले कि आप स्क्वीड स्थापित करना शुरू करें, आपको डीएनएस सर्वर को पीएफसेंस में कॉन्फ़िगर करना होगा, हमारे डीएनएस सर्वर पर इसके लिए एक ए रिकॉर्ड और एक पीटीआर रिकॉर्ड बनाना होगा, और एनटीपी को कॉन्फ़िगर करना होगा ताकि समय डोमेन नियंत्रक पर समय से अलग न हो।

और अपने नेटवर्क पर, इंटरनेट पर जाने के लिए pfSense के WAN इंटरफ़ेस और स्थानीय नेटवर्क पर उपयोगकर्ताओं को LAN इंटरफ़ेस से कनेक्ट करने की क्षमता प्रदान करें, जिसमें पोर्ट 7445 और 3128 (मेरे मामले में 8080) शामिल हैं।

सब तैयार है? क्या एलडीएपी कनेक्शन पीएफसेंस पर प्राधिकरण के लिए डोमेन के साथ स्थापित है और समय सिंक्रनाइज़ है? महान। यह मुख्य प्रक्रिया शुरू करने का समय है।

स्थापना और पूर्व-कॉन्फ़िगरेशन

Squid, SquidGuard और LightSquid को pfSense पैकेज मैनेजर से "सिस्टम / पैकेज मैनेजर" सेक्शन में इंस्टॉल किया जाएगा।

सफल स्थापना के बाद, "सेवा / स्क्वीड प्रॉक्सी सर्वर /" पर जाएं और सबसे पहले, स्थानीय कैश टैब में, कैशिंग कॉन्फ़िगर करें, मैं सब कुछ 0 पर सेट करता हूं, क्योंकि मुझे कैशिंग साइट्स में ज्यादा बिंदु नहीं दिख रहा है, ब्राउज़र इसके साथ बहुत अच्छा काम करते हैं। सेट करने के बाद, स्क्रीन के नीचे "सेव" बटन दबाएं और इससे हमें बुनियादी प्रॉक्सी सेटिंग करने का अवसर मिलेगा।

मुख्य सेटिंग्स इस प्रकार हैं:

डिफ़ॉल्ट पोर्ट 3128 है, लेकिन मैं 8080 का उपयोग करना पसंद करता हूं।

प्रॉक्सी इंटरफ़ेस टैब में चयनित पैरामीटर निर्धारित करते हैं कि हमारा प्रॉक्सी सर्वर किस इंटरफ़ेस पर सुनेगा। चूँकि यह फ़ायरवॉल इस तरह से बनाया गया है कि यह इंटरनेट पर WAN इंटरफ़ेस के रूप में दिखता है, भले ही LAN और WAN एक ही स्थानीय सबनेट पर हो सकते हैं, मैं प्रॉक्सी के लिए LAN का उपयोग करने की सलाह देता हूँ।

कार्य करने के लिए लूपबैक की आवश्यकता है।

नीचे आपको पारदर्शी (पारदर्शी) प्रॉक्सी सेटिंग्स, साथ ही एसएसएल फ़िल्टर मिलेगा, लेकिन हमें उनकी आवश्यकता नहीं है, हमारी प्रॉक्सी पारदर्शी नहीं होगी, और https फ़िल्टरिंग के लिए हम प्रमाणपत्र को नहीं बदलेंगे (हमारे पास दस्तावेज़ प्रवाह है, बैंक ग्राहक, आदि), आइए बस हैंडशेक को देखें।

इस स्तर पर, हमें अपने डोमेन नियंत्रक पर जाने की जरूरत है, इसमें एक प्रमाणीकरण खाता बनाएं (आप उस का भी उपयोग कर सकते हैं जिसे प्रमाणीकरण के लिए पीएफसेंस पर ही कॉन्फ़िगर किया गया था)। यहां एक बहुत महत्वपूर्ण कारक है - यदि आप AES128 या AES256 एन्क्रिप्शन का उपयोग करना चाहते हैं - तो अपनी खाता सेटिंग में उपयुक्त बॉक्स चेक करें।

यदि आपका डोमेन बड़ी संख्या में निर्देशिकाओं के साथ एक बहुत ही जटिल वन है या आपका डोमेन स्थानीय है, तो यह संभव है, लेकिन निश्चित नहीं है कि आपको इस खाते के लिए एक साधारण पासवर्ड का उपयोग करना होगा, बग ज्ञात है, लेकिन यह जटिल पासवर्ड के साथ काम नहीं कर सकता है, आपको किसी विशेष मामले की जांच करने की आवश्यकता है।

उसके बाद, हम kerberos के लिए एक महत्वपूर्ण फ़ाइल बनाते हैं, डोमेन नियंत्रक पर व्यवस्थापक अधिकारों के साथ कमांड प्रॉम्प्ट खोलें और दर्ज करें:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

जहां हम अपने FQDN pfSense को इंगित करते हैं, मामले का सम्मान करना सुनिश्चित करें, हमारे डोमेन खाते और उसके पासवर्ड को मैपसर पैरामीटर में दर्ज करें, और क्रिप्टो में हम एन्क्रिप्शन विधि का चयन करते हैं, मैंने काम के लिए rc4 का उपयोग किया और -आउट फ़ील्ड में हम चुनते हैं कि हम कहाँ हैं हमारी तैयार की फाइल भेजेगा।
कुंजी फ़ाइल को सफलतापूर्वक बनाने के बाद, हम इसे अपने pfSense को भेज देंगे, मैंने इसके लिए Far का उपयोग किया, लेकिन आप इसे "डायग्नोस्टिक्स कमांड लाइन" अनुभाग में कमांड और पुट्टी या pfSense वेब इंटरफ़ेस के माध्यम से भी कर सकते हैं।

अब हम /etc/krb5.conf संपादित/सृजित कर सकते हैं

जहाँ /etc/krb5.keytab हमारे द्वारा बनाई गई कुंजी फ़ाइल है।

किनीट का उपयोग करके केर्बरोस के संचालन की जांच करना सुनिश्चित करें, अगर यह काम नहीं करता है, तो आगे पढ़ने का कोई मतलब नहीं है।

स्क्वीड ऑथेंटिकेशन और एक्सेस लिस्ट को बिना ऑथेंटिकेशन के कॉन्फिगर करना

केर्बरोस को सफलतापूर्वक कॉन्फ़िगर करने के बाद, हम इसे अपने स्क्वीड में बांधेंगे।

ऐसा करने के लिए, ServicesSquid प्रॉक्सी सर्वर पर जाएं और मुख्य सेटिंग्स में बहुत नीचे जाएं, वहां हमें "उन्नत सेटिंग्स" बटन मिलेगा।

कस्टम विकल्प (प्रामाणिक से पहले) फ़ील्ड में, दर्ज करें:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

कहाँ auth_param बातचीत कार्यक्रम /usr/local/libexec/squid/negotiate_kerberos_auth - हमारे लिए आवश्यक प्रमाणीकरण केर्बेरोस सहायक का चयन करता है।

कुंजी -s अर्थ के साथ जीएसएस_C_NO_NAME - कुंजी फ़ाइल से किसी भी खाते के उपयोग को परिभाषित करता है।

कुंजी -k अर्थ के साथ /usr/local/etc/squid/squid.keytab - इस विशेष कीटैब फ़ाइल का उपयोग करने के लिए निर्धारित करता है। मेरे मामले में, यह वही कीटैब फ़ाइल है जिसे हमने बनाया था, जिसे मैंने /usr/local/etc/squid/ निर्देशिका में कॉपी किया था और इसका नाम बदल दिया था, क्योंकि स्क्वीड उस निर्देशिका के साथ दोस्ती नहीं करना चाहता था, जाहिरा तौर पर वहाँ नहीं थे पर्याप्त अधिकार।

कुंजी -t अर्थ के साथ -टी कोई नहीं - डोमेन नियंत्रक के लिए चक्रीय अनुरोधों को अक्षम करता है, जो आपके 50 से अधिक उपयोगकर्ता होने पर उस पर लोड को बहुत कम कर देता है।
परीक्षण की अवधि के लिए, आप -d कुंजी भी जोड़ सकते हैं - यानी डायग्नोस्टिक्स, अधिक लॉग प्रदर्शित किए जाएंगे।
auth_param नेगोशिएट चिल्ड्रन 1000 - निर्धारित करता है कि एक साथ कितनी प्राधिकरण प्रक्रियाएँ चलाई जा सकती हैं
auth_param बातचीत जारी_रखें - प्राधिकरण श्रृंखला के मतदान के दौरान कनेक्शन तोड़ने की अनुमति नहीं देता है
acl प्रमाणीकरण xy_auth आवश्यक है - एक एक्सेस कंट्रोल सूची बनाता है और इसकी आवश्यकता होती है जिसमें प्राधिकरण पास करने वाले उपयोगकर्ता शामिल होते हैं
acl nonauth dstdomain "/etc/squid/nonauth.txt" - हम स्क्वीड को नॉनऑथ एक्सेस लिस्ट के बारे में सूचित करते हैं, जिसमें डेस्टिनेशन डोमेन होते हैं, जिसमें हर किसी को हमेशा एक्सेस की अनुमति होगी। हम फ़ाइल स्वयं बनाते हैं, और इसके अंदर हम प्रारूप में डोमेन दर्ज करते हैं

.whatsapp.com
.whatsapp.net

व्हाट्सएप एक उदाहरण के रूप में व्यर्थ नहीं है - यह प्रमाणीकरण के साथ प्रॉक्सी के बारे में बहुत उपयुक्त है और प्रमाणीकरण से पहले इसकी अनुमति नहीं होने पर यह काम नहीं करेगा।
http_access नॉनऑथ की अनुमति दें - इस सूची को सभी को एक्सेस करने की अनुमति दें
http_access इनकार! प्रमाणीकरण - हम अनधिकृत उपयोगकर्ताओं को अन्य साइटों तक पहुंच प्रतिबंधित करते हैं
http_access प्रमाणीकरण की अनुमति दें - अधिकृत उपयोगकर्ताओं तक पहुंच की अनुमति दें।
बस इतना ही, स्क्वीड स्वयं कॉन्फ़िगर किया गया है, अब समूहों द्वारा फ़िल्टरिंग शुरू करने का समय आ गया है।

स्क्वीडगार्ड को कॉन्फ़िगर करना

ServicesSquidGuard प्रॉक्सी फ़िल्टर पर जाएँ।

एलडीएपी विकल्पों में हम करबरोस प्रमाणीकरण के लिए उपयोग किए गए हमारे खाते का डेटा दर्ज करते हैं, लेकिन निम्नलिखित प्रारूप में:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

यदि रिक्त स्थान या गैर-लैटिन वर्ण हैं, तो यह संपूर्ण प्रविष्टि एकल या दोहरे उद्धरणों में संलग्न होनी चाहिए:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

अगला, इन बक्सों की जाँच करना सुनिश्चित करें:

अनावश्यक DOMAINpfsense को काटने के लिए डोमेन.LOCAL जिसके प्रति पूरा सिस्टम बहुत संवेदनशील है।

अब हम ग्रुप एसीएल में जाते हैं और अपने डोमेन एक्सेस ग्रुप्स को बाइंड करते हैं, मैं 0 तक ग्रुप_1, ग्रुप_3, आदि जैसे सरल नामों का उपयोग करता हूं, जहां 3 केवल व्हाइट लिस्ट तक पहुंच है, और 0 - सब कुछ संभव है।

समूह इस प्रकार जुड़े हुए हैं:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

हमारे समूह को सहेजें, टाइम्स पर जाएं, वहां मैंने हमेशा काम करने के लिए एक अंतर बनाया है, अब लक्ष्य श्रेणियों पर जाएं और अपने विवेक पर सूचियां बनाएं, सूची बनाने के बाद हम अपने समूहों में लौटते हैं और बटन के साथ समूह के अंदर हम चुनते हैं कि कौन जा सकता है कहाँ, और कौन कहाँ नहीं कर सकता।

लाइटस्क्विड और sqstat

यदि कॉन्फ़िगरेशन प्रक्रिया के दौरान हमने स्क्वीड सेटिंग्स में एक लूपबैक का चयन किया और हमारे नेटवर्क और pfSense दोनों पर फ़ायरवॉल में 7445 तक पहुँचने की क्षमता खोली, तो जब हम स्क्वीड प्रॉक्सी रिपोर्ट के डायग्नोस्टिक्स में जाते हैं, तो हम आसानी से दोनों sqstat और खोल सकते हैं Lighsquid, बाद के लिए हमें आवश्यकता होगी उसी स्थान पर, एक उपयोगकर्ता नाम और पासवर्ड के साथ आएं, और एक डिज़ाइन चुनने का अवसर भी है।

समापन

pfSense एक बहुत ही शक्तिशाली उपकरण है जो बहुत कुछ कर सकता है - ट्रैफ़िक प्रॉक्सी और इंटरनेट तक उपयोगकर्ता की पहुँच पर नियंत्रण दोनों ही पूरी कार्यक्षमता का एक अंश हैं, फिर भी, 500 मशीनों वाले एक उद्यम में, इसने समस्या को हल किया और सहेजा गया एक प्रॉक्सी खरीदना।

मुझे उम्मीद है कि यह लेख किसी ऐसी समस्या को हल करने में मदद करेगा जो मध्यम और बड़े उद्यमों के लिए काफी प्रासंगिक है।

स्रोत: www.habr.com