ドメイン認証を備えた企業向けの無料プロキシ サーバー

https フィルタリングを使用した pfSense+Squid + Active Directory グループ フィルタリングを使用したシングル サインオン (SSO)

簡単な背景

同社は、ユーザーが追加のパスワードを入力することなく、Web インターフェイスから管理できるように、AD からのサイト (https を含む) へのアクセスをグループごとにフィルタリングする機能を備えたプロキシ サーバーを実装する必要がありました。 良い応用ですね。

正しい答えは、Kerio Control や UserGate などのソリューションを購入することですが、いつものようにお金はありませんが、ニーズはあります。

ここで古き良き Squid が役に立ちますが、やはり Web インターフェイスはどこで入手できるのでしょうか? サムス２？ 道徳的に時代遅れだ。 ここで pfSense が役に立ちます。

説明

この記事では、Squid プロキシ サーバーを構成する方法について説明します。
ユーザーの認証には Kerberos が使用されます。
SquidGuard はドメイン グループによるフィルタリングに使用されます。

監視には Lightsquid、sqstat、および内部 pfSense 監視システムが使用されます。
また、シングル サインオン (SSO) テクノロジの導入に関連する一般的な問題、つまり、アプリケーションがシステム アカウントを使用してコンパス アカウントでインターネットをサーフィンしようとする問題も解決します。

Squid のインストールの準備

pfSense をベースとして、 インストール手順。

その中で、ドメイン アカウントを使用してファイアウォール自体の認証を整理します。 指示。

非常に重要！

Squid のインストールを開始する前に、pfsense で DNS サーバーを構成し、DNS サーバー上でその A レコードと PTR レコードを作成し、時刻がドメイン コントローラーの時刻と変わらないように NTP を構成する必要があります。

そして、ネットワーク上で、pfSense の WAN インターフェイスがインターネットに接続できるようにし、ローカル ネットワーク上のユーザーがポート 7445 と 3128 (私の場合は 8080) を含む LAN インターフェイスに接続できるようにします。

準備は万端ですか？ pfSense で認証用のドメインとの LDAP 接続が確立されており、時刻は同期されていますか? 素晴らしい。 メインプロセスを開始する時が来ました。

インストールと事前構成

Squid、SquidGuard、および LightSquid は、「システム / パッケージ マネージャー」セクションの pfSense パッケージ マネージャーからインストールされます。

インストールが成功したら、「サービス / Squid プロキシ サーバー /」に移動し、まず [ローカル キャッシュ] タブでキャッシュを構成します。すべてを 0 に設定します。 サイトをキャッシュすることにあまり意味はないと思いますが、これに関してはブラウザーがうまく機能します。 設定後、画面下部の「保存」ボタンを押すと、基本的なプロキシ設定を行うことができます。

主な設定は次のとおりです。

デフォルトのポートは 3128 ですが、私は 8080 を使用することを好みます。

[プロキシ インターフェイス] タブで選択したパラメータによって、プロキシ サーバーがリッスンするインターフェイスが決まります。 このファイアウォールはインターネット上で WAN インターフェイスとして見えるように構築されているため、LAN と WAN が同じローカル サブネット上に存在する場合でも、プロキシとして LAN を使用することをお勧めします。

sqstat が機能するにはループバックが必要です。

以下に、透過的 (透過的) プロキシ設定と SSL フィルターがありますが、これらは必要ありません。プロキシは透過的ではありません。https フィルターの場合、証明書は置き換えられません (ドキュメント フロー、銀行があります)。クライアントなど）、ハンドシェイクを見てみましょう。

この段階では、ドメイン コントローラーに移動し、その中で認証アカウントを作成する必要があります (pfSense 自体で認証用に構成されたアカウントを使用することもできます)。 ここは非常に重要な要素です - AES128 または AES256 暗号化を使用する場合は、アカウント設定で適切なボックスをオンにしてください。

ドメインが多数のディレクトリを持つ非常に複雑なフォレストである場合、またはドメインが .local である場合、このアカウントには単純なパスワードを使用する必要がある可能性がありますが、確実ではありません。バグは既知ですが、複雑なパスワードでは機能しない可能性があるため、特定のケースを確認する必要があります。

その後、kerberos のキー ファイルを作成し、ドメイン コントローラー上で管理者権限でコマンド プロンプトを開き、次のように入力します。

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

FQDN pfSense を指定する場合は、必ず大文字と小文字を区別してください。mapuser パラメーターにドメイン アカウントとそのパスワードを入力し、crypto で暗号化方式を選択します。作業には rc4 を使用し、-out フィールドでどこに使用するかを選択します。完成したキーファイルを送信します。
キー ファイルが正常に作成されたら、それを pfSense に送信します。このために Far を使用しましたが、コマンドと putty の両方を使用して、または「診断コマンド ライン」セクションの pfSense Web インターフェイスを通じてこれを行うこともできます。

これで、/etc/krb5.conf を編集/作成できるようになりました。

ここで、/etc/krb5.keytab は作成したキー ファイルです。

kinit を使用して Kerberos の動作を必ず確認してください。動作しない場合は、これ以上読んでも意味がありません。

Squid 認証と認証なしのアクセス リストの設定

Kerberos が正常に構成されたら、それを Squid に固定します。

これを行うには、ServicesSquid プロキシ サーバーに移動し、メイン設定の一番下に移動すると、[詳細設定] ボタンがあります。

[カスタム オプション (認証前)] フィールドに、次のように入力します。

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

どこ auth_param ネゴシエート プログラム /usr/local/libexec/squid/negotiate_kerberos_auth - 必要な認証 Kerberos ヘルパーを選択します。

キー -s 意味のある GSS_C_NO_NAME — キー ファイルからのアカウントの使用を定義します。

キー -k 意味のある /usr/local/etc/squid/squid.keytab - この特定の keytab ファイルを使用することを決定します。 私の場合、これは作成したのと同じ keytab ファイルです。これを /usr/local/etc/squid/ ディレクトリにコピーして名前を変更しました。squid はそのディレクトリと友達になることを望まなかったためです。どうやら、そのディレクトリには友達がいなかったようです。十分な権利。

キー -t 意味のある -t なし - ドメイン コントローラーへの周期的な要求を無効にすることで、ユーザーが 50 人を超える場合の負荷が大幅に軽減されます。
テスト中に -d キーを追加することもできます。つまり、診断、より多くのログが表示されます。
auth_param 子 1000 をネゴシエートする - 同時に実行できる認証プロセスの数を決定します
auth_param で keep_alive をネゴシエートする - 認可チェーンのポーリング中に接続を切断することはできません
acl 認証 proxy_auth 必須 - 認可を通過したユーザーを含むアクセス制御リストを作成し、要求します。
acl nonauth dstdomain "/etc/squid/nonauth.txt" - 宛先ドメインを含む非認証アクセス リストについてイカに通知します。このリストへの誰もが常にアクセスを許可されます。 ファイル自体を作成し、その中に次の形式でドメインを入力します。

.whatsapp.com
.whatsapp.net

Whatsapp が例として使用されるのは無駄ではありません。Whatsapp は認証を伴うプロキシに非常に厳しいので、認証前に許可されていない場合は機能しません。
http_access 非認証を許可する - このリストへのアクセスを全員に許可します
http_アクセス拒否 !auth - 権限のないユーザーによる他のサイトへのアクセスを禁止します
http_access 認証を許可する - 許可されたユーザーにアクセスを許可します。
これで Squid 自体の設定は完了です。今度はグループによるフィルタリングを開始します。

SquidGuard の構成

ServicesSquidGuard プロキシ フィルターに移動します。

LDAP オプションでは、kerberos 認証に使用されるアカウントのデータを次の形式で入力します。

CN=pfsense,OU=service-accounts,DC=domain,DC=local

スペースまたは非ラテン文字がある場合は、このエントリ全体を一重引用符または二重引用符で囲む必要があります。

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

次に、次のボックスを必ずチェックしてください。

不要なDOMAINpfsenseを切断するには DOMAIN.LOCAL システム全体が非常に敏感です。

次に、グループ Acl に移動し、ドメイン アクセス グループをバインドします。group_0、group_1 などの単純な名前を最大 3 まで使用します。3 はホワイト リストへのアクセスのみ、0 はすべてが可能です。

グループは次のようにリンクされます。

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

グループを保存し、タイムズに移動します。そこで、常に機能することを意味するギャップを XNUMX つ作成しました。次に、ターゲット カテゴリに移動し、自由裁量でリストを作成します。リストを作成した後、グループに戻り、グループ内でボタンを使用して選択します誰がどこに行けて、誰がどこに行けないのか。

LightSquid と sqstat

構成プロセス中に、squid 設定でループバックを選択し、ネットワークと pfSense 自体の両方でファイアウォールの 7445 にアクセスする機能を開いた場合、Squid プロキシ レポートの診断に移動すると、sqstat と sqstat の両方を簡単に開くことができます。 Lighsquid、後者の場合は、同じ場所でユーザー名とパスワードを考え出し、デザインを選択する機会もあります。

Завершение

pfSense は、多くのことを実行できる非常に強力なツールです。トラフィック プロキシとインターネットへのユーザー アクセスの制御は両方とも、機能全体のほんの一部にすぎませんが、500 台のマシンがある企業では、これによって問題が解決され、コストが節約されました。プロキシを購入する。

この記事が、中規模および大規模企業に関連する問題の解決に役立つことを願っています。

出所： habr.com