pfSense+Squid ak https filtraj + Single sign-on technology (SSO) ak filtraj pa gwoup Active Directory
Brief background
Antrepriz la te bezwen aplike yon sèvè prokurasyon ak kapasite pou filtre aksè nan sit (ki gen ladan https) pa gwoup ki soti nan AD, pou itilizatè yo pa t 'antre nenpòt modpas adisyonèl, ak administrasyon te kapab fè soti nan koòdone entènèt la. Pa yon move aplikasyon, pa vre?
Repons ki kòrèk la ta dwe achte solisyon tankou Kerio Control oswa UserGate, men kòm toujou pa gen lajan, men gen yon bezwen.
Sa a se kote bon vye Squid vini nan sekou nou an, men ankò, ki kote mwen ka jwenn koòdone entènèt la? SAMS2? Moralman demode. Sa a se kote pfSense vin pote sekou.
Deskripsyon
Atik sa a pral dekri kijan pou konfigirasyon yon sèvè proxy Squid.
Kerberos pral itilize pou otorize itilizatè yo.
SquidGuard pral itilize pou filtre pa gwoup domèn.
Lightsquid, sqstat ak sistèm siveyans entèn pfSense yo pral itilize pou siveyans.
Yon pwoblèm komen ki asosye ak aplikasyon an nan yon sèl sign-on teknoloji (SSO) pral rezoud tou, sètadi aplikasyon pou eseye jwenn aksè nan entènèt la anba kont konpa nan kont sistèm yo.
Preparasyon pou enstale Squid
pfSense pral itilize kòm yon baz,
Anndan kote nou òganize otantifikasyon nan firewall nan tèt li lè l sèvi avèk kont domèn.
Trè enpotan!
Anvan ou kòmanse enstale Squid, ou bezwen konfigirasyon sèvè dns la nan pfsense, fè yon dosye A ak dosye PTR pou li sou sèvè dns nou an ak konfigirasyon NTP pou lè a pa diferan de tan an sou kontwolè domèn nan.
Ak nan rezo ou a, bay kapasite pou koòdone pfSense WAN pou jwenn aksè nan Entènèt la, epi pou itilizatè yo sou rezo lokal la konekte nan koòdone LAN, ki gen ladan atravè pò 7445 ak 3128 (nan ka mwen an, 8080).
Tout pare? Èske domèn nan konekte atravè LDAP pou otorizasyon sou pfSense epi èske tan an senkronize? Gwo. Li lè yo kòmanse pwosesis prensipal la.
Enstalasyon ak pre-konfigirasyon
Nou pral enstale Squid, SquidGuard ak LightSquid ki soti nan manadjè pake pfSense nan seksyon "Manadjè Sistèm/Pake".
Apre enstalasyon siksè, ale nan "Sèvis/Squid Proxy sèvè/" epi anvan tout bagay, nan tab la Cache lokal, mete kanpe kachèt, mwen mete tout bagay sou 0, paske Mwen pa wè anpil pwen nan sit kachèt; navigatè yo okipe sa a byen. Apre mete, peze bouton an "Save" nan pati anba a nan ekran an epi sa a pral ba nou opòtinite pou fè anviwònman proxy debaz yo.
Anviwònman prensipal yo se jan sa a:
Pò a default se 3128, men mwen prefere itilize 8080.
Paramèt yo chwazi nan tab la Entèfas prokurasyon detèmine ki koòdone sèvè prokurasyon nou an ap koute. Depi pare-feu sa a bati nan yon fason ke li gade sou entènèt la atravè koòdone WAN a, menm si LAN ak WAN ka sou menm subnet lokal la, mwen rekòmande pou itilize LAN pou proxy la.
Loopback nesesè pou sqstat travay.
Anba a ou pral jwenn paramèt proxy transparan yo, osi byen ke filtè SSL la, men nou pa bezwen yo, proxy nou an pa pral transparan, epi pou https filtraj nou pa pral fè fas ak sibstitisyon sètifika (apre tout, nou gen jesyon dokiman. , kliyan labank, elatriye), Ann jis gade nan lanmen an.
Nan etap sa a, nou bezwen ale nan kontwolè domèn nou an, kreye yon kont nan li pou otantifikasyon (ou ka tou itilize youn nan ke ou configuré pou otantifikasyon sou pfSense tèt li). Yon faktè trè enpòtan isit la se ke si ou gen entansyon itilize AES128 oswa AES256 chifreman, tcheke bwat ki apwopriye yo nan paramèt kont ou.
Si domèn ou a se yon forè trè konplèks ak yon gwo kantite repèrtwar oswa domèn ou a se .local, Lè sa a, POSIB, men se pa pou asire w, ou pral oblije sèvi ak yon modpas senp pou kont sa a, se pinèz la li te ye, men ak yon konplèks. modpas li ka tou senpleman pa travay, ou bezwen tcheke sou yon ka espesifik endividyèl.
Apre tout bagay sa yo, nou kreye yon dosye kle pou Kerberos, sou kontwolè domèn nan, louvri yon èd memwa ak dwa administratè epi antre:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Ki kote nou endike FQDN pfSense nou an, asire w ke ou respekte ka a, nan paramèt mapuser la nou antre nan kont domèn nou an ak modpas li yo, ak nan crypto nou chwazi metòd la chifreman, mwen itilize rc4 pou travay ak nan jaden an -out nou chwazi kote. nou pral voye dosye kle pare nou an.
Apre yo fin kreye dosye kle a avèk siksè, nou pral voye li bay pfSense nou an, mwen te itilize Far pou sa a, men ou ka fè sa tou lè l sèvi avèk kòmandman, mastike oswa atravè koòdone wèb pfSense nan seksyon "DiagnosticsCommand Line".
Koulye a, nou ka edite kreye /etc/krb5.conf
kote /etc/krb5.keytab se dosye kle nou te kreye a.
Asire w ou tcheke operasyon Kerberos lè l sèvi avèk kinit; si li pa travay, pa gen okenn pwen nan lekti pi lwen.
Konfigirasyon Otantifikasyon Squid ak Pa gen Lis Aksè Otantifikasyon
Èske w gen siksè configuré Kerberos, nou pral tache li nan kalma nou an.
Pou fè sa, ale nan ServicesSquid Proxy Server ak nan anviwònman prensipal yo, ale nan pati anba a anpil, se la nou pral jwenn bouton an "Anviwònman avanse".
Nan jaden Opsyon Custom (Anvan Otorizasyon), antre:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authkote auth_param negosye pwogram /usr/local/libexec/squid/negotiate_kerberos_auth — chwazi asistan otantifikasyon Kerberos nou bezwen an.
Kle -s ak siyifikasyon GSS_C_NO_NAME — detèmine itilizasyon nenpòt kont nan dosye kle a.
Kle -k ak siyifikasyon /usr/local/etc/squid/squid.keytab — detèmine pou itilize dosye sa a keytab patikilye. Nan ka mwen an, sa a se menm fichye keytab ke nou te pwodwi a, ke mwen kopye nan /usr/local/etc/squid/ anyè a epi chanje non li paske kalma a pa t 'vle vin zanmi ak anyè sa a, aparamman mwen pa t' genyen. ase dwa.
Kle -t ak siyifikasyon -t okenn — enfim demann cyclique pou kontwolè domèn, sa ki redwi anpil chaj sou li si ou gen plis pase 50 itilizatè.
Pandan tès la, ou ka ajoute tou -d switch la - sa vle di dyagnostik, plis mòso bwa yo pral parèt.
auth_param negosye timoun 1000 — detèmine konbyen pwosesis otorizasyon similtane yo ka lanse
auth_param negosye keep_alive sou — anpeche koneksyon an dekonekte pandan sondaj chèn otorizasyon an
acl auth proxy_auth OBLIGATWA — kreye epi mande yon lis kontwòl aksè ki gen ladan itilizatè otorize
acl nonauth dstdomain "/etc/squid/nonauth.txt" — nou enfòme kalma a sou lis aksè nonauth la, ki gen domèn destinasyon kote tout moun ap toujou gen dwa aksè. Nou kreye dosye a tèt li, epi antre nan domèn yo andedan li nan fòma a
.whatsapp.com
.whatsapp.net
Whatsapp yo itilize kòm yon egzanp pou yon rezon - li trè serye sou proxy otantifikasyon epi li pa pral travay si li pa pèmèt anvan otantifikasyon.
http_access pèmèt nonauth — pèmèt tout moun jwenn aksè nan lis sa a
http_access refize !auth — nou entèdi aksè nan lòt sit pou itilizatè ki pa otorize
http_access pèmèt otorizasyon — pèmèt aksè a itilizatè otorize yo.
Sa a se li, kalma nan tèt li se configuré, kounye a li lè yo kòmanse filtraj pa gwoup.
Mete kanpe SquidGuard
Ale nan ServicesSquidGuard Proxy Filter.
Nan Opsyon LDAP nou antre detay kont nou yo itilize pou otantifikasyon Kerberos, men nan fòma sa a:
CN=pfsense,OU=service-accounts,DC=domain,DC=localSi gen espas oswa karaktè ki pa Laten, tout antre sa a ta dwe fèmen nan sitasyon sèl oswa doub:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Apre sa, asire w ke w tcheke kare sa yo:
Pou koupe DOMAINpfsense ki pa nesesè .LOKAL ki tout sistèm nan trè sansib.
Koulye a, ann ale nan Group Acl ak mare gwoup aksè domèn nou yo, mwen itilize non senp tankou group_0, group_1, elatriye jiska 3, kote 3 vle di aksè sèlman nan lis blan an, ak 0 vle di tout bagay se posib.
Gwoup yo lye jan sa a:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))nou sove gwoup nou an, ale nan Times, la mwen te kreye yon sèl gap sa vle di li ap toujou travay, kounye a nou ale nan Kategori sib epi kreye lis nan diskresyon nou, apre yo fin kreye lis yo nou retounen nan gwoup nou yo ak nan gwoup la nou itilize bouton pou chwazi ki moun ki ka ale kote ak ki moun ki pa ka ale kote .
LightSquid ak sqstat
Si pandan pwosesis konfigirasyon an nou chwazi loopback nan paramèt kalma yo epi nou louvri kapasite pou jwenn aksè nan 7445 nan firewall la tou de sou rezo nou an ak sou pfSense tèt li, Lè sa a, lè nou ale nan DiagnosticsSquid Proxy Reports nou ka fasilman louvri tou de sqstat ak Lighsquid, pou la. Lèt nou pral bezwen Gen ou ka vini ak yon login ak modpas, epi ou ka chwazi tou yon konsepsyon.
Konplete
pfSense se yon zouti trè pwisan ki ka fè anpil bagay - proxy trafik ak kontwole aksè itilizatè a entènèt la se jis yon grenn nan fonksyonalite a tout antye, sepandan, nan yon antrepriz ki gen 500 machin, li rezoud pwoblèm nan ak pèmèt nou sove. sou achte nan yon prokurasyon.
Mwen espere ke atik sa a pral ede yon moun rezoud yon pwoblèm ki byen enpòtan pou antrepriz mwayen ak gwo.
Sous: www.habr.com