ម៉ាស៊ីនមេប្រូកស៊ីឥតគិតថ្លៃសម្រាប់សហគ្រាសជាមួយនឹងការអនុញ្ញាតដែន

pfSense + Squid ជាមួយ https filtering + បច្ចេកវិទ្យាការចូលតែមួយ (SSO) ជាមួយការត្រងដោយក្រុម Active Directory

សាវតាសង្ខេប

សហគ្រាសត្រូវការដើម្បីអនុវត្តម៉ាស៊ីនមេប្រូកស៊ីដែលមានសមត្ថភាពត្រងការចូលទៅកាន់គេហទំព័រ (រួមទាំង https) ដោយក្រុមពី AD ដូច្នេះអ្នកប្រើប្រាស់មិនបញ្ចូលពាក្យសម្ងាត់បន្ថែមទេ ហើយការគ្រប់គ្រងអាចធ្វើឡើងពីចំណុចប្រទាក់គេហទំព័រ។ មិនមែនជាកម្មវិធីអាក្រក់ទេ មែនទេ?

ចម្លើយត្រឹមត្រូវគឺត្រូវទិញដំណោះស្រាយដូចជា Kerio Control ឬ UserGate ប៉ុន្តែដូចដែលតែងតែមិនមានលុយ ប៉ុន្តែមានតម្រូវការ។

នេះជាកន្លែងដែល Squid ចាស់ល្អមកជួយសង្គ្រោះយើង ប៉ុន្តែម្តងទៀត តើខ្ញុំអាចទទួលបានចំណុចប្រទាក់គេហទំព័រនៅឯណា? SAMS2? ហួសសម័យខាងសីលធម៌។ នេះគឺជាកន្លែងដែល pfSense មកជួយសង្គ្រោះ។

បរិយាយ

អត្ថបទនេះនឹងពិពណ៌នាអំពីរបៀបកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេប្រូកស៊ី Squid ។
Kerberos នឹងត្រូវបានប្រើដើម្បីផ្តល់សិទ្ធិដល់អ្នកប្រើប្រាស់។
SquidGuard នឹងត្រូវបានប្រើដើម្បីត្រងដោយក្រុមដែន។

Lightsquid, sqstat និងប្រព័ន្ធត្រួតពិនិត្យ pfSense ខាងក្នុងនឹងត្រូវបានប្រើសម្រាប់ការត្រួតពិនិត្យ។
បញ្ហាទូទៅដែលទាក់ទងនឹងការអនុវត្តបច្ចេកវិទ្យា single sign-on (SSO) ក៏នឹងត្រូវបានដោះស្រាយផងដែរ ពោលគឺកម្មវិធីដែលព្យាយាមចូលប្រើអ៊ីនធឺណិតក្រោមគណនីត្រីវិស័យនៃគណនីប្រព័ន្ធរបស់ពួកគេ។

កំពុងរៀបចំដំឡើង Squid

pfSense នឹង​ត្រូវ​បាន​ប្រើ​ជា​មូលដ្ឋាន, ការណែនាំអំពីការដំឡើង។

នៅខាងក្នុងដែលយើងរៀបចំការផ្ទៀងផ្ទាត់ទៅជញ្ជាំងភ្លើងដោយខ្លួនឯងដោយប្រើគណនីដែន។ ការណែនាំ។

សំខាន់ណាស់!

មុនពេលអ្នកចាប់ផ្តើមដំឡើង Squid អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ DNS ក្នុង pfsense បង្កើតកំណត់ត្រា A និង PTR record សម្រាប់វានៅលើម៉ាស៊ីនមេ DNS របស់យើង ហើយកំណត់រចនាសម្ព័ន្ធ NTP ដូច្នេះពេលវេលាមិនខុសគ្នាពីពេលវេលានៅលើឧបករណ៍បញ្ជាដែន។

ហើយនៅក្នុងបណ្តាញរបស់អ្នក ផ្តល់នូវសមត្ថភាពសម្រាប់ចំណុចប្រទាក់ pfSense WAN ដើម្បីចូលប្រើអ៊ីនធឺណិត និងសម្រាប់អ្នកប្រើប្រាស់នៅលើបណ្តាញមូលដ្ឋានដើម្បីភ្ជាប់ទៅចំណុចប្រទាក់ LAN រួមទាំងតាមរយៈច្រក 7445 និង 3128 (ក្នុងករណីរបស់ខ្ញុំ 8080) ។

រួចរាល់ហើយឬនៅ? តើដែនត្រូវបានភ្ជាប់តាមរយៈ LDAP សម្រាប់ការអនុញ្ញាតនៅលើ pfSense ហើយតើពេលវេលាត្រូវបានធ្វើសមកាលកម្មដែរឬទេ? អស្ចារ្យ។ វាដល់ពេលហើយដើម្បីចាប់ផ្តើមដំណើរការចម្បង។

ការដំឡើងនិងការកំណត់ជាមុន

យើងនឹងដំឡើង Squid, SquidGuard និង LightSquid ពីកម្មវិធីគ្រប់គ្រងកញ្ចប់ pfSense នៅក្នុងផ្នែក "System/Package Manager"។

បន្ទាប់ពីការដំឡើងដោយជោគជ័យ សូមចូលទៅកាន់ "Services/Squid Proxy server/" ហើយជាដំបូងនៅក្នុងផ្ទាំង Local Cache កំណត់រចនាសម្ព័ន្ធឃ្លាំងសម្ងាត់ ខ្ញុំកំណត់អ្វីគ្រប់យ៉ាងទៅជា 0 ព្រោះ ខ្ញុំ​មិន​ឃើញ​ចំណុច​ច្រើន​នៅ​ក្នុង​គេហទំព័រ​ឃ្លាំង​សម្ងាត់​ទេ កម្មវិធីរុករក​តាម​អ៊ីនធឺណិត​ដោះស្រាយ​វា​បាន​ល្អ។ បន្ទាប់ពីការកំណត់ សូមចុចប៊ូតុង "រក្សាទុក" នៅផ្នែកខាងក្រោមនៃអេក្រង់ ហើយវានឹងផ្តល់ឱ្យយើងនូវឱកាសដើម្បីធ្វើការកំណត់ប្រូកស៊ីជាមូលដ្ឋាន។

ការកំណត់សំខាន់ៗមានដូចខាងក្រោម៖

ច្រកលំនាំដើមគឺ 3128 ប៉ុន្តែខ្ញុំចូលចិត្តប្រើ 8080 ។

ប៉ារ៉ាម៉ែត្រដែលបានជ្រើសរើសនៅក្នុងផ្ទាំង ចំណុចប្រទាក់ប្រូកស៊ី កំណត់ចំណុចប្រទាក់ណាមួយដែលម៉ាស៊ីនមេប្រូកស៊ីរបស់យើងនឹងស្តាប់។ ដោយសារជញ្ជាំងភ្លើងនេះត្រូវបានបង្កើតឡើងតាមរបៀបដែលវាមើលទៅលើអ៊ីនធឺណិតតាមរយៈចំណុចប្រទាក់ WAN ទោះបីជា LAN និង WAN អាចស្ថិតនៅលើបណ្តាញរងក្នុងតំបន់ដូចគ្នាក៏ដោយ ខ្ញុំសូមណែនាំឱ្យប្រើ LAN សម្រាប់ប្រូកស៊ី។

Loopback គឺចាំបាច់សម្រាប់ sqstat ដើម្បីដំណើរការ។

ខាងក្រោមនេះអ្នកនឹងឃើញការកំណត់ប្រូកស៊ីតម្លាភាព ក៏ដូចជាតម្រង SSL ប៉ុន្តែយើងមិនត្រូវការពួកវាទេ ប្រូកស៊ីរបស់យើងនឹងមិនមានតម្លាភាព ហើយសម្រាប់ការត្រង https យើងនឹងមិនដោះស្រាយជាមួយនឹងការជំនួសវិញ្ញាបនបត្រទេ (បន្ទាប់ពីទាំងអស់ យើងមានការគ្រប់គ្រងឯកសារ , អតិថិជនធនាគារ។ល។) តោះមើលការចាប់ដៃ។

នៅដំណាក់កាលនេះ យើងត្រូវចូលទៅកាន់ឧបករណ៍បញ្ជាដែនរបស់យើង បង្កើតគណនីមួយនៅក្នុងវាសម្រាប់ការផ្ទៀងផ្ទាត់ (អ្នកក៏អាចប្រើគណនីដែលអ្នកបានកំណត់រចនាសម្ព័ន្ធសម្រាប់ការផ្ទៀងផ្ទាត់នៅលើ pfSense ខ្លួនវាផងដែរ)។ កត្តាសំខាន់នៅទីនេះគឺថា ប្រសិនបើអ្នកមានបំណងប្រើការអ៊ិនគ្រីប AES128 ឬ AES256 សូមធីកប្រអប់ដែលសមស្របនៅក្នុងការកំណត់គណនីរបស់អ្នក។

ប្រសិនបើដែនរបស់អ្នកជាព្រៃស្មុគ្រស្មាញដែលមានចំនួនថតច្រើន ឬដែនរបស់អ្នកគឺ .local នោះអាចទៅរួច ប៉ុន្តែមិនប្រាកដទេ អ្នកនឹងត្រូវប្រើពាក្យសម្ងាត់សាមញ្ញសម្រាប់គណនីនេះ កំហុសត្រូវបានគេស្គាល់ ប៉ុន្តែជាមួយនឹងភាពស្មុគស្មាញ ពាក្យ​សម្ងាត់​វា​ប្រហែល​ជា​មិន​ដំណើរការ​ទេ អ្នក​ត្រូវ​ពិនិត្យ​លើ​ករណី​បុគ្គល​ជាក់លាក់។

បន្ទាប់ពីអ្វីៗទាំងអស់នេះ យើងបង្កើតឯកសារគន្លឹះសម្រាប់ Kerberos នៅលើឧបករណ៍បញ្ជាដែន បើកប្រអប់បញ្ចូលពាក្យបញ្ជាដែលមានសិទ្ធិអ្នកគ្រប់គ្រង ហើយបញ្ចូល៖

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

កន្លែងដែលយើងចង្អុលបង្ហាញ FQDN pfSense របស់យើង ត្រូវប្រាកដថាគោរពករណីនេះ នៅក្នុងប៉ារ៉ាម៉ែត្រ mapuser យើងបញ្ចូលគណនីដែនរបស់យើង និងពាក្យសម្ងាត់របស់វា ហើយនៅក្នុង crypto យើងជ្រើសរើសវិធីសាស្ត្រអ៊ិនគ្រីប ខ្ញុំបានប្រើ rc4 សម្រាប់ការងារ ហើយនៅក្នុងវាល -out យើងជ្រើសរើសកន្លែងដែល យើងនឹងផ្ញើឯកសារគន្លឹះដែលត្រៀមរួចជាស្រេចរបស់យើង។
បន្ទាប់ពីបង្កើតឯកសារសោដោយជោគជ័យ យើងនឹងផ្ញើវាទៅ pfSense របស់យើង ខ្ញុំបានប្រើ Far សម្រាប់រឿងនេះ ប៉ុន្តែអ្នកក៏អាចធ្វើវាបានដោយប្រើពាក្យបញ្ជា putty ឬតាមរយៈចំណុចប្រទាក់បណ្ដាញ pfSense នៅក្នុងផ្នែក "DiagnosticsCommand Line" ។

ឥឡូវនេះយើងអាចកែសម្រួលបង្កើត /etc/krb5.conf

ដែល /etc/krb5.keytab គឺជាឯកសារគន្លឹះដែលយើងបានបង្កើត។

ត្រូវប្រាកដថាពិនិត្យមើលប្រតិបត្តិការរបស់ Kerberos ដោយប្រើ kinit ប្រសិនបើវាមិនដំណើរការ វាគ្មានចំណុចអ្វីក្នុងការអានបន្ថែមទេ។

កំណត់រចនាសម្ព័ន្ធការផ្ទៀងផ្ទាត់ Squid និងគ្មានបញ្ជីការចូលប្រើការផ្ទៀងផ្ទាត់

ដោយបានកំណត់រចនាសម្ព័ន្ធ Kerberos ដោយជោគជ័យ យើងនឹងភ្ជាប់វាទៅ Squid របស់យើង។

ដើម្បីធ្វើដូច្នេះ សូមចូលទៅកាន់ ServicesSquid Proxy Server ហើយនៅក្នុងការកំណត់សំខាន់ សូមចូលទៅកាន់ផ្នែកខាងក្រោមបំផុត នៅទីនោះយើងនឹងឃើញប៊ូតុង “Advanced settings”។

នៅក្នុងប្រអប់ ជម្រើសផ្ទាល់ខ្លួន (មុនការផ្ទៀងផ្ទាត់) សូមបញ្ចូល៖

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

កន្លែងណា កម្មវិធីចរចា auth_param /usr/local/libexec/squid/negotiate_kerberos_auth — ជ្រើសរើសជំនួយការផ្ទៀងផ្ទាត់ Kerberos ដែលយើងត្រូវការ។

គន្លឹះ -s ជាមួយនឹងអត្ថន័យ GSS_C_NO_NAME - កំណត់ការប្រើប្រាស់គណនីណាមួយពីឯកសារគន្លឹះ។

គន្លឹះ -k ជាមួយនឹងអត្ថន័យ /usr/local/etc/squid/squid.keytab - កំណត់ដើម្បីប្រើឯកសារផ្ទាំងគ្រាប់ចុចពិសេសនេះ។ ក្នុងករណីរបស់ខ្ញុំ នេះជាឯកសារផ្ទាំងគ្រាប់ចុចដូចគ្នាដែលយើងបានបង្កើត ដែលខ្ញុំបានចម្លងទៅថត /usr/local/etc/squid/ ហើយប្តូរឈ្មោះវាព្រោះមឹកមិនចង់ធ្វើជាមិត្តជាមួយថតនោះ ជាក់ស្តែងខ្ញុំមិនមាន សិទ្ធិគ្រប់គ្រាន់។

គន្លឹះ -t ជាមួយនឹងអត្ថន័យ - គ្មាន - បិទដំណើរការសំណើររង្វង់ទៅកាន់ឧបករណ៍បញ្ជាដែន ដែលកាត់បន្ថយការផ្ទុកនៅលើវាយ៉ាងច្រើន ប្រសិនបើអ្នកមានអ្នកប្រើប្រាស់លើសពី 50 នាក់។
ក្នុងអំឡុងពេលធ្វើតេស្ត អ្នកក៏អាចបន្ថែមកុងតាក់ -d - ឧ. ការវិនិច្ឆ័យ កំណត់ហេតុច្រើនទៀតនឹងត្រូវបានបង្ហាញ។
auth_param ចរចារកុមារ 1000 - កំណត់ថាតើដំណើរការអនុញ្ញាតក្នុងពេលដំណាលគ្នាប៉ុន្មានអាចត្រូវបានចាប់ផ្តើម
auth_param ចរចា keep_alive on - ការពារការភ្ជាប់ពីការផ្តាច់នៅពេលបោះឆ្នោតខ្សែសង្វាក់ការអនុញ្ញាត
acl auth proxy_auth ទាមទារ — បង្កើត និងទាមទារបញ្ជីត្រួតពិនិត្យការចូលប្រើ ដែលរួមបញ្ចូលអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាត
acl nonauth dstdomain "/etc/squid/nonauth.txt" — យើងជូនដំណឹងដល់សត្វមឹកអំពីបញ្ជីការចូលប្រើ nonnauth ដែលមានដែនគោលដៅ ដែលមនុស្សគ្រប់គ្នានឹងតែងតែត្រូវបានអនុញ្ញាតឱ្យចូលប្រើ។ យើងបង្កើតឯកសារដោយខ្លួនវា ហើយបញ្ចូលដែននៅក្នុងវាក្នុងទម្រង់

.whatsapp.com
.whatsapp.net

Whatsapp ត្រូវ​បាន​ប្រើ​ជា​ឧទាហរណ៍​សម្រាប់​ហេតុផល​មួយ - វា​មាន​ជម្រើស​ខ្លាំង​ណាស់​អំពី​ប្រូកស៊ី​ការ​ផ្ទៀងផ្ទាត់​ភាព​ត្រឹមត្រូវ ហើយ​នឹង​មិន​ដំណើរការ​ទេ ប្រសិន​បើ​វា​មិន​ត្រូវ​បាន​អនុញ្ញាត​មុន​ពេល​ការ​ផ្ទៀងផ្ទាត់។
http_access អនុញ្ញាតឱ្យ nonauth — អនុញ្ញាតឱ្យចូលប្រើបញ្ជីនេះសម្រាប់អ្នករាល់គ្នា
http_access deny !auth — យើងហាមឃាត់ការចូលទៅកាន់គេហទំព័រផ្សេងទៀតសម្រាប់អ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាត
http_access អនុញ្ញាតការផ្ទៀងផ្ទាត់ - អនុញ្ញាតឱ្យចូលប្រើអ្នកប្រើប្រាស់ដែលមានការអនុញ្ញាត។
នោះហើយជាវា Squid ខ្លួនវាត្រូវបានកំណត់រចនាសម្ព័ន្ធ ឥឡូវនេះដល់ពេលចាប់ផ្តើមត្រងតាមក្រុម។

ការដំឡើង SquidGuard

ចូលទៅកាន់ ServicesSquidGuard តម្រងប្រូកស៊ី។

នៅក្នុងជម្រើស LDAP យើងបញ្ចូលព័ត៌មានលម្អិតនៃគណនីរបស់យើងដែលប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ Kerberos ប៉ុន្តែក្នុងទម្រង់ដូចខាងក្រោម៖

CN=pfsense,OU=service-accounts,DC=domain,DC=local

ប្រសិនបើមានចន្លោះ ឬតួអក្សរមិនមែនឡាតាំង ធាតុទាំងមូលនេះគួរត្រូវបានរុំព័ទ្ធក្នុងសម្រង់តែមួយ ឬពីរដង៖

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

បន្ទាប់ ត្រូវប្រាកដថាធីកប្រអប់ទាំងនេះ៖

ដើម្បីកាត់ផ្តាច់ DOMAINpfsense ដែលមិនចាំបាច់ DOMAIN.LOCAL ដែលប្រព័ន្ធទាំងមូលមានភាពរសើបខ្លាំង។

ឥឡូវនេះសូមចូលទៅកាន់ Group Acl ហើយចងក្រុមការចូលប្រើដែនរបស់យើង ខ្ញុំប្រើឈ្មោះសាមញ្ញដូចជា group_0, group_1 ជាដើម រហូតដល់ 3 ដែល 3 មានន័យថាចូលប្រើតែបញ្ជីស ហើយ 0 មានន័យថាអ្វីៗគឺអាចធ្វើទៅបាន។

ក្រុមត្រូវបានភ្ជាប់ដូចខាងក្រោមៈ

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

យើងរក្សាទុកក្រុមរបស់យើង ចូលទៅកាន់ Times នៅទីនោះខ្ញុំបានបង្កើតគម្លាតមួយដែលមានន័យថាវានឹងដំណើរការជានិច្ច ឥឡូវនេះយើងទៅកាន់ប្រភេទគោលដៅ ហើយបង្កើតបញ្ជីតាមការសម្រេចចិត្តរបស់យើង បន្ទាប់ពីបង្កើតបញ្ជី យើងត្រឡប់ទៅក្រុមរបស់យើងវិញ ហើយនៅក្នុងក្រុមយើងប្រើប៊ូតុង ដើម្បីជ្រើសរើសអ្នកដែលអាចទៅកន្លែងណា ហើយអ្នកណាមិនអាចទៅណាបាន។

LightSquid និង sqstat

ប្រសិនបើក្នុងអំឡុងពេលនៃដំណើរការដំឡើង យើងបានជ្រើសរើស loopback នៅក្នុងការកំណត់ squid ហើយបើកលទ្ធភាពចូលប្រើ 7445 នៅក្នុង firewall ទាំងនៅលើបណ្តាញរបស់យើង និងនៅលើ pfSense ខ្លួនវា បន្ទាប់មកនៅពេលដែលយើងចូលទៅកាន់ DiagnosticsSquid Proxy Reports យើងអាចបើកបានយ៉ាងងាយស្រួលទាំង sqstat និង Lighsquid សម្រាប់ ក្រោយមកទៀត យើងនឹងត្រូវការនៅទីនោះ អ្នកអាចមកជាមួយការចូល និងពាក្យសម្ងាត់ ហើយអ្នកក៏អាចជ្រើសរើសការរចនាផងដែរ។

ការបញ្ចប់

pfSense គឺជាឧបករណ៍ដ៏មានអានុភាពដែលអាចធ្វើអ្វីៗបានជាច្រើន - ការធ្វើចរាចរប្រូកស៊ី និងការគ្រប់គ្រងការចូលប្រើអ៊ីនធឺណិតរបស់អ្នកប្រើប្រាស់គឺគ្រាន់តែជាមុខងារទាំងមូលប៉ុណ្ណោះ ប៉ុន្តែនៅក្នុងសហគ្រាសដែលមានម៉ាស៊ីនចំនួន 500 វាបានដោះស្រាយបញ្ហា និងអនុញ្ញាតឱ្យយើងរក្សាទុក។ លើការទិញប្រូកស៊ី។

ខ្ញុំសង្ឃឹមថាអត្ថបទនេះនឹងជួយនរណាម្នាក់ឱ្យដោះស្រាយបញ្ហាដែលពាក់ព័ន្ធខ្លាំងសម្រាប់សហគ្រាសធុនមធ្យម និងធំ។

ប្រភព: www.habr.com