pfSense+Squid kanthi penyaringan https + Teknologi mlebu tunggal (SSO) kanthi nyaring miturut grup Active Directory
Latar mburi ringkes
Perusahaan kasebut kudu ngetrapake server proxy kanthi kemampuan kanggo nyaring akses menyang situs (kalebu https) dening grup saka AD, supaya pangguna ora ngetik sandhi tambahan, lan administrasi bisa ditindakake saka antarmuka web. Ora aplikasi sing ala, ta?
Jawaban sing bener bakal tuku solusi kayata Kerio Control utawa UserGate, nanging kaya biasane ora ana dhuwit, nanging ana sing perlu.
Iki ngendi Cumi lawas apik teka kanggo ngluwari kita, nanging maneh, ngendi aku bisa njaluk antarmuka web? SAMS2? Moral kuna. Iki ngendi pfSense teka kanggo ngluwari.
Description
Artikel iki bakal nerangake carane ngatur server proxy Squid.
Kerberos bakal digunakake kanggo menehi wewenang pangguna.
SquidGuard bakal digunakake kanggo nyaring miturut grup domain.
Lightsquid, sqstat lan sistem pemantauan pfSense internal bakal digunakake kanggo ngawasi.
Masalah umum sing ana gandhengane karo implementasi teknologi mlebu tunggal (SSO) uga bakal ditanggulangi, yaiku aplikasi sing nyoba ngakses Internet ing akun kompas akun sistem kasebut.
Nyiyapake kanggo nginstal Squid
pfSense bakal digunakake minangka basis,
Ing njero kita ngatur otentikasi menyang firewall dhewe nggunakake akun domain.
Penting banget!
Sadurunge miwiti nginstal Squid, sampeyan kudu ngatur server DNS ing pfsense, nggawe rekaman A lan PTR ing server DNS kita lan ngatur NTP supaya wektu ora beda karo wektu ing controller domain.
Lan ing jaringan sampeyan, nyedhiyakake kemampuan kanggo antarmuka WAN pfSense kanggo ngakses Internet, lan pangguna ing jaringan lokal nyambung menyang antarmuka LAN, kalebu liwat port 7445 lan 3128 (ing kasusku, 8080).
Kabeh wis siyap? Apa domain disambungake liwat LDAP kanggo wewenang ing pfSense lan wektu disinkronake? Agung. Iku wektu kanggo miwiti proses utama.
Instalasi lan pra-konfigurasi
Kita bakal nginstal Squid, SquidGuard lan LightSquid saka manajer paket pfSense ing bagean "System / Package Manager".
Sawise instalasi sukses, pindhah menyang "Services / Squid Proxy server /" lan pisanan, ing tab Cache Lokal, konfigurasi caching, aku nyetel kabeh dadi 0, amarga Aku ora weruh akeh titik ing situs caching; browser nangani iki mung apik. Sawise nyetel, pencet tombol "Simpen" ing sisih ngisor layar lan iki bakal menehi kita kesempatan kanggo nggawe setelan proxy dhasar.
Setelan utama kaya ing ngisor iki:
Port standar yaiku 3128, nanging aku luwih seneng nggunakake 8080.
Parameter sing dipilih ing tab Antarmuka Proksi nemtokake antarmuka sing bakal dirungokake server proxy kita. Wiwit firewall iki dibangun ing kuwi cara sing katon ing Internet liwat antarmuka WAN, malah sanadyan LAN lan WAN uga ing subnet lokal padha, Aku nyaranake nggunakake LAN kanggo proxy.
Loopback dibutuhake kanggo sqstat bisa.
Ing ngisor iki sampeyan bakal nemokake setelan proxy Transparan, uga Filter SSL, nanging kita ora butuh, proxy kita ora bakal transparan, lan kanggo nyaring https, kita ora bakal ngatasi substitusi sertifikat (sawise kabeh, kita duwe manajemen dokumen. , klien bank, lan liya-liyane), Ayo ndeleng salaman.
Ing tahap iki, kita kudu pindhah menyang kontroler domain kita, nggawe akun ing kanggo otentikasi (sampeyan uga bisa nggunakake siji sing wis diatur kanggo otentikasi ing pfSense dhewe). Faktor sing penting banget yaiku yen sampeyan pengin nggunakake enkripsi AES128 utawa AES256, priksa kothak sing cocog ing setelan akun sampeyan.
Yen domain sampeyan minangka alas sing rumit banget kanthi akeh direktori utawa domain sampeyan .lokal, mula MUNGKIN, nanging ora mesthi, sampeyan kudu nggunakake tembung sandhi sing prasaja kanggo akun iki, bug kasebut dikenal, nanging kanthi kompleks. sandi bisa mung ora bisa, sampeyan kudu mriksa ing cilik individu tartamtu.
Sawise kabeh, kita nggawe file kunci kanggo Kerberos, ing kontroler domain, bukak command prompt kanthi hak administrator lan ketik:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Ing ngendi kita nuduhake FQDN pfSense, mesthine kanggo ngormati kasus kasebut, ing parameter mapuser kita ngetik akun domain lan sandhi, lan ing crypto kita milih cara enkripsi, aku nggunakake rc4 kanggo karya lan ing lapangan -out kita pilih ngendi kita bakal ngirim file kunci siap-digawe.
Sawise kasil nggawe file tombol, kita bakal ngirim menyang pfSense kita, Aku digunakake Adoh iki, nanging sampeyan uga bisa nindakake iki nggunakake printah, putty utawa liwat antarmuka web pfSense ing bagean "DiagnosticsCommand Line".
Saiki kita bisa ngowahi nggawe /etc/krb5.conf
ngendi /etc/krb5.keytab file tombol kita digawe.
Priksa manawa operasi Kerberos nggunakake kinit; yen ora bisa digunakake, ora ana gunane maca maneh.
Konfigurasi Otentikasi Cumi lan Ora Ana Daftar Akses Otentikasi
Sawise kasil ngatur Kerberos, kita bakal masang menyang cumi kita.
Kanggo nindakake iki, pindhah menyang ServicesSquid Proxy Server lan ing setelan utama, pindhah menyang paling ngisor, ing kono kita bakal nemokake tombol "Setelan lanjutan".
Ing kolom Pilihan Kustom (Sadurunge Auth), ketik:
#Π₯Π΅Π»ΠΏΠ΅ΡΡ
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Π‘ΠΏΠΈΡΠΊΠΈ Π΄ΠΎΡΡΡΠΏΠ°
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΡ
http_access allow nonauth
http_access deny !auth
http_access allow authngendi program rembugan auth_param /usr/local/libexec/squid/negotiate_kerberos_auth - milih helper otentikasi Kerberos sing kita butuhake.
Kunci -s kanthi teges GSS_C_NO_NAME - nemtokake panggunaan akun apa wae saka file kunci.
Kunci -k kanthi teges /usr/local/etc/squid/squid.keytab - nemtokake nggunakake file keytab tartamtu iki. Ing kasusku, iki file keytab sing padha sing digawe, sing daksalin menyang direktori /usr/local/etc/squid/ banjur ganti jeneng amarga cumi-cumi ora pengin kanca karo direktori kasebut, ketoke aku ora duwe. hak cukup.
Kunci -t kanthi teges - ora ana - disables panjalukan cyclical kanggo controller domain, kang nemen nyuda mbukak ing yen sampeyan duwe luwih saka 50 kedhaftar.
Sajrone tes, sampeyan uga bisa nambah saklar -d - yaiku diagnostik, log liyane bakal ditampilake.
auth_param rembugan anak 1000 - nemtokake carane akeh pangolahan wewenang simultaneous bisa dibukak
auth_param rembugan keep_alive ing - ngalangi sambungan saka pedhot nalika polling chain wewenang
acl auth proxy_auth REQUIRED - nggawe lan mbutuhake dhaptar kontrol akses sing kalebu pangguna sing sah
acl nonauth dstdomain "/etc/squid/nonauth.txt" - kita ngandhani cumi-cumi babagan dhaptar akses nonauth, sing ngemot domain tujuan sing saben wong bakal diidini akses. Kita nggawe file kasebut dhewe, lan ketik domain kasebut ing format kasebut
.whatsapp.com
.whatsapp.net
Whatsapp digunakake minangka conto kanthi alesan - banget pilih-pilih babagan proxy otentikasi lan ora bakal bisa digunakake yen ora diidini sadurunge otentikasi.
http_access ngidini nonauth - ngidini akses menyang dhaptar iki kanggo kabeh wong
http_akses nolak !auth - kita nglarang akses menyang situs liyane kanggo pangguna sing ora sah
http_access ngidini auth - ngidini akses menyang pangguna sing sah.
Iku, Cumi dhewe wis diatur, saiki wektu kanggo miwiti nyaring dening klompok.
Nyetel SquidGuard
Pindhah menyang Filter Proxy ServicesSquidGuard.
Ing Opsi LDAP, kita ngetik rincian akun sing digunakake kanggo otentikasi Kerberos, nanging ing format ing ngisor iki:
CN=pfsense,OU=service-accounts,DC=domain,DC=localYen ana spasi utawa karakter non-Latin, kabeh entri iki kudu dilampirake ing kuotasi siji utawa pindho:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Sabanjure, priksa kothak kasebut:
Kanggo ngilangi DOMAINpfsense sing ora perlu .LOKAL sing kabeh sistem banget sensitif.
Saiki ayo pindhah menyang Group Acl lan ikatan grup akses domain kita, aku nggunakake jeneng prasaja kaya group_0, group_1, etc nganti 3, ngendi 3 tegese akses mung kanggo dhaptar putih, lan 0 tegese kabeh bisa.
Klompok kasebut disambungake kaya ing ngisor iki:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))kita nyimpen grup kita, pindhah menyang Times, ana aku nggawe siji longkangan sing tegese bakal tansah bisa, saiki kita pindhah menyang Target Kategori lan nggawe dhaptar ing discretion kita, sawise nggawe dhaptar kita bali menyang grup lan ing grup kita nggunakake tombol kanggo milih sapa sing bisa menyang ngendi lan sing ora bisa menyang ngendi.
LightSquid lan sqstat
Yen sajrone proses persiyapan kita milih loopback ing setelan cumi-cumi lan mbukak kemampuan kanggo ngakses 7445 ing firewall ing jaringan kita lan ing pfSense dhewe, banjur nalika kita pindhah menyang DiagnosticsSquid Proxy Reports, kita bisa kanthi gampang mbukak loro sqstat lan Lighsquid, kanggo pungkasan kita kudu Ana sampeyan bisa teka munggah karo login lan sandhi, lan sampeyan uga bisa milih desain.
Rampung
pfSense minangka alat sing kuat banget sing bisa nindakake akeh perkara - lalu lintas proxy lan ngontrol akses pangguna menyang Internet mung minangka bagean saka kabeh fungsi, nanging ing perusahaan kanthi 500 mesin, masalah kasebut bisa ditanggulangi lan ngidini kita nyimpen. ing tuku proxy.
Muga-muga artikel iki bisa mbantu wong ngatasi masalah sing cukup relevan kanggo perusahaan menengah lan gedhe.
Source: www.habr.com