https ಫಿಲ್ಟರಿಂಗ್ ಜೊತೆಗೆ pfSense+Squid + ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಗುಂಪುಗಳಿಂದ ಫಿಲ್ಟರಿಂಗ್ನೊಂದಿಗೆ ಏಕ ಸೈನ್-ಆನ್ ತಂತ್ರಜ್ಞಾನ (SSO)
ಸಂಕ್ಷಿಪ್ತ ಹಿನ್ನೆಲೆ
AD ಯಿಂದ ಗುಂಪುಗಳ ಮೂಲಕ ಸೈಟ್ಗಳಿಗೆ (https ಸೇರಿದಂತೆ) ಪ್ರವೇಶವನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯದೊಂದಿಗೆ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಎಂಟರ್ಪ್ರೈಸ್ ಅಗತ್ಯವಿದೆ, ಇದರಿಂದಾಗಿ ಬಳಕೆದಾರರು ಯಾವುದೇ ಹೆಚ್ಚುವರಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ನಮೂದಿಸಲಿಲ್ಲ ಮತ್ತು ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಿಂದ ಆಡಳಿತವನ್ನು ಮಾಡಬಹುದು. ಕೆಟ್ಟ ಅಪ್ಲಿಕೇಶನ್ ಅಲ್ಲ, ಅಲ್ಲವೇ?
ಸರಿಯಾದ ಉತ್ತರವೆಂದರೆ ಕೆರಿಯೊ ಕಂಟ್ರೋಲ್ ಅಥವಾ ಯೂಸರ್ಗೇಟ್ನಂತಹ ಪರಿಹಾರಗಳನ್ನು ಖರೀದಿಸುವುದು, ಆದರೆ ಯಾವಾಗಲೂ ಹಣವಿಲ್ಲ, ಆದರೆ ಅವಶ್ಯಕತೆಯಿದೆ.
ಇಲ್ಲಿಯೇ ಉತ್ತಮ ಹಳೆಯ ಸ್ಕ್ವಿಡ್ ನಮ್ಮ ರಕ್ಷಣೆಗೆ ಬರುತ್ತದೆ, ಆದರೆ ಮತ್ತೆ, ನಾನು ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಎಲ್ಲಿ ಪಡೆಯಬಹುದು? SAMS2? ನೈತಿಕವಾಗಿ ಹಳತಾಗಿದೆ. ಇಲ್ಲಿಯೇ pfSense ರಕ್ಷಣೆಗೆ ಬರುತ್ತದೆ.
ವಿವರಣೆ
ಸ್ಕ್ವಿಡ್ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ ಅನ್ನು ಹೇಗೆ ಕಾನ್ಫಿಗರ್ ಮಾಡುವುದು ಎಂಬುದನ್ನು ಈ ಲೇಖನವು ವಿವರಿಸುತ್ತದೆ.
ಬಳಕೆದಾರರನ್ನು ಅಧಿಕೃತಗೊಳಿಸಲು Kerberos ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.
ಡೊಮೇನ್ ಗುಂಪುಗಳ ಮೂಲಕ ಫಿಲ್ಟರ್ ಮಾಡಲು SquidGuard ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.
Lightsquid, sqstat ಮತ್ತು ಆಂತರಿಕ pfSense ಮಾನಿಟರಿಂಗ್ ಸಿಸ್ಟಮ್ಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆಗಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.
ಸಿಂಗಲ್ ಸೈನ್-ಆನ್ (SSO) ತಂತ್ರಜ್ಞಾನದ ಅನುಷ್ಠಾನಕ್ಕೆ ಸಂಬಂಧಿಸಿದ ಸಾಮಾನ್ಯ ಸಮಸ್ಯೆಯನ್ನು ಸಹ ಪರಿಹರಿಸಲಾಗುತ್ತದೆ, ಅವುಗಳೆಂದರೆ ತಮ್ಮ ಸಿಸ್ಟಮ್ ಖಾತೆಯ ದಿಕ್ಸೂಚಿ ಖಾತೆಯ ಅಡಿಯಲ್ಲಿ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿರುವ ಅಪ್ಲಿಕೇಶನ್ಗಳು.
ಸ್ಕ್ವಿಡ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಸಿದ್ಧವಾಗುತ್ತಿದೆ
pfSense ಅನ್ನು ಆಧಾರವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ,
ಅದರ ಒಳಗೆ ನಾವು ಡೊಮೇನ್ ಖಾತೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಫೈರ್ವಾಲ್ಗೆ ದೃಢೀಕರಣವನ್ನು ಆಯೋಜಿಸುತ್ತೇವೆ.
ಇದು ಬಹಳ ಮುಖ್ಯ!
ನೀವು ಸ್ಕ್ವಿಡ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು, ನೀವು DNS ಸರ್ವರ್ ಅನ್ನು pfsense ನಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ, ನಮ್ಮ DNS ಸರ್ವರ್ನಲ್ಲಿ ಅದಕ್ಕೆ A ರೆಕಾರ್ಡ್ ಮತ್ತು PTR ದಾಖಲೆಯನ್ನು ಮಾಡಿ ಮತ್ತು NTP ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ ಇದರಿಂದ ಸಮಯವು ಡೊಮೇನ್ ನಿಯಂತ್ರಕದಲ್ಲಿನ ಸಮಯಕ್ಕಿಂತ ಭಿನ್ನವಾಗಿರುವುದಿಲ್ಲ.
ಮತ್ತು ನಿಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ, pfSense WAN ಇಂಟರ್ಫೇಸ್ಗೆ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಮತ್ತು ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ಬಳಕೆದಾರರಿಗೆ ಪೋರ್ಟ್ 7445 ಮತ್ತು 3128 (ನನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, 8080) ಮೂಲಕ LAN ಇಂಟರ್ಫೇಸ್ಗೆ ಸಂಪರ್ಕಿಸಲು ಸಾಮರ್ಥ್ಯವನ್ನು ಒದಗಿಸಿ.
ಎಲ್ಲಾ ಸಿದ್ಧವಾಗಿದೆಯೇ? pfSense ನಲ್ಲಿ ದೃಢೀಕರಣಕ್ಕಾಗಿ LDAP ಮೂಲಕ ಡೊಮೇನ್ ಸಂಪರ್ಕಗೊಂಡಿದೆಯೇ ಮತ್ತು ಸಮಯವನ್ನು ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲಾಗಿದೆಯೇ? ಕುವೆಂಪು. ಮುಖ್ಯ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸುವ ಸಮಯ.
ಅನುಸ್ಥಾಪನೆ ಮತ್ತು ಪೂರ್ವ ಸಂರಚನೆ
ನಾವು "ಸಿಸ್ಟಮ್/ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್" ವಿಭಾಗದಲ್ಲಿ pfSense ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ನಿಂದ Squid, SquidGuard ಮತ್ತು LightSquid ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತೇವೆ.
ಯಶಸ್ವಿ ಸ್ಥಾಪನೆಯ ನಂತರ, “ಸೇವೆಗಳು/ಸ್ಕ್ವಿಡ್ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್/” ಗೆ ಹೋಗಿ ಮತ್ತು ಮೊದಲನೆಯದಾಗಿ, ಸ್ಥಳೀಯ ಸಂಗ್ರಹ ಟ್ಯಾಬ್ನಲ್ಲಿ, ಹಿಡಿದಿಟ್ಟುಕೊಳ್ಳುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ, ನಾನು ಎಲ್ಲವನ್ನೂ 0 ಗೆ ಹೊಂದಿಸಿದ್ದೇನೆ, ಏಕೆಂದರೆ ಸೈಟ್ಗಳನ್ನು ಹಿಡಿದಿಟ್ಟುಕೊಳ್ಳುವುದರಲ್ಲಿ ನಾನು ಹೆಚ್ಚು ಅರ್ಥವನ್ನು ಕಾಣುತ್ತಿಲ್ಲ; ಬ್ರೌಸರ್ಗಳು ಇದನ್ನು ಉತ್ತಮವಾಗಿ ನಿರ್ವಹಿಸುತ್ತವೆ. ಹೊಂದಿಸಿದ ನಂತರ, ಪರದೆಯ ಕೆಳಭಾಗದಲ್ಲಿರುವ "ಉಳಿಸು" ಬಟನ್ ಒತ್ತಿರಿ ಮತ್ತು ಇದು ಮೂಲ ಪ್ರಾಕ್ಸಿ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಮಾಡಲು ನಮಗೆ ಅವಕಾಶವನ್ನು ನೀಡುತ್ತದೆ.
ಮುಖ್ಯ ಸೆಟ್ಟಿಂಗ್ಗಳು ಈ ಕೆಳಗಿನಂತಿವೆ:
ಡೀಫಾಲ್ಟ್ ಪೋರ್ಟ್ 3128 ಆಗಿದೆ, ಆದರೆ ನಾನು 8080 ಅನ್ನು ಬಳಸಲು ಬಯಸುತ್ತೇನೆ.
ಪ್ರಾಕ್ಸಿ ಇಂಟರ್ಫೇಸ್ ಟ್ಯಾಬ್ನಲ್ಲಿ ಆಯ್ಕೆಮಾಡಿದ ಪ್ಯಾರಾಮೀಟರ್ಗಳು ನಮ್ಮ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ ಯಾವ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಕೇಳುತ್ತದೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ. ಈ ಫೈರ್ವಾಲ್ ಅನ್ನು WAN ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ನೋಡುವ ರೀತಿಯಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿರುವುದರಿಂದ, LAN ಮತ್ತು WAN ಒಂದೇ ಸ್ಥಳೀಯ ಸಬ್ನೆಟ್ನಲ್ಲಿದ್ದರೂ, ಪ್ರಾಕ್ಸಿಗಾಗಿ LAN ಅನ್ನು ಬಳಸಲು ನಾನು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ.
sqstat ಕೆಲಸ ಮಾಡಲು ಲೂಪ್ಬ್ಯಾಕ್ ಅಗತ್ಯವಿದೆ.
ಕೆಳಗೆ ನೀವು ಪಾರದರ್ಶಕ ಪ್ರಾಕ್ಸಿ ಸೆಟ್ಟಿಂಗ್ಗಳು, ಹಾಗೆಯೇ SSL ಫಿಲ್ಟರ್ ಅನ್ನು ಕಾಣಬಹುದು, ಆದರೆ ನಮಗೆ ಅವುಗಳ ಅಗತ್ಯವಿಲ್ಲ, ನಮ್ಮ ಪ್ರಾಕ್ಸಿ ಪಾರದರ್ಶಕವಾಗಿರುವುದಿಲ್ಲ ಮತ್ತು https ಫಿಲ್ಟರಿಂಗ್ಗಾಗಿ ನಾವು ಪ್ರಮಾಣಪತ್ರ ಪರ್ಯಾಯದೊಂದಿಗೆ ವ್ಯವಹರಿಸುವುದಿಲ್ಲ (ಎಲ್ಲಾ ನಂತರ, ನಾವು ಡಾಕ್ಯುಮೆಂಟ್ ನಿರ್ವಹಣೆಯನ್ನು ಹೊಂದಿದ್ದೇವೆ , ಬ್ಯಾಂಕ್ ಕ್ಲೈಂಟ್ಗಳು, ಇತ್ಯಾದಿ), ಹ್ಯಾಂಡ್ಶೇಕ್ ಅನ್ನು ನೋಡೋಣ.
ಈ ಹಂತದಲ್ಲಿ, ನಾವು ನಮ್ಮ ಡೊಮೇನ್ ನಿಯಂತ್ರಕಕ್ಕೆ ಹೋಗಬೇಕು, ದೃಢೀಕರಣಕ್ಕಾಗಿ ಅದರಲ್ಲಿ ಖಾತೆಯನ್ನು ರಚಿಸಬೇಕು (ನೀವು pfSense ನಲ್ಲಿಯೇ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ ಒಂದನ್ನು ಸಹ ನೀವು ಬಳಸಬಹುದು). ಇಲ್ಲಿ ಬಹಳ ಮುಖ್ಯವಾದ ಅಂಶವೆಂದರೆ ನೀವು AES128 ಅಥವಾ AES256 ಗೂಢಲಿಪೀಕರಣವನ್ನು ಬಳಸಲು ಬಯಸಿದರೆ, ನಿಮ್ಮ ಖಾತೆಯ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಸೂಕ್ತವಾದ ಬಾಕ್ಸ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಿ.
ನಿಮ್ಮ ಡೊಮೇನ್ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಡೈರೆಕ್ಟರಿಗಳನ್ನು ಹೊಂದಿರುವ ಅತ್ಯಂತ ಸಂಕೀರ್ಣವಾದ ಅರಣ್ಯವಾಗಿದ್ದರೆ ಅಥವಾ ನಿಮ್ಮ ಡೊಮೇನ್ .local ಆಗಿದ್ದರೆ, ಆಗ ಬಹುಶಃ, ಆದರೆ ಖಚಿತವಾಗಿ ಅಲ್ಲ, ನೀವು ಈ ಖಾತೆಗೆ ಸರಳವಾದ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ, ದೋಷವು ತಿಳಿದಿದೆ, ಆದರೆ ಸಂಕೀರ್ಣದೊಂದಿಗೆ ಪಾಸ್ವರ್ಡ್ ಇದು ಕಾರ್ಯನಿರ್ವಹಿಸದೇ ಇರಬಹುದು, ನೀವು ನಿರ್ದಿಷ್ಟ ವೈಯಕ್ತಿಕ ಪ್ರಕರಣವನ್ನು ಪರಿಶೀಲಿಸಬೇಕು.
ಈ ಎಲ್ಲಾ ನಂತರ, ಡೊಮೇನ್ ನಿಯಂತ್ರಕದಲ್ಲಿ ನಾವು Kerberos ಗಾಗಿ ಒಂದು ಪ್ರಮುಖ ಫೈಲ್ ಅನ್ನು ರಚಿಸುತ್ತೇವೆ, ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಕಮಾಂಡ್ ಪ್ರಾಂಪ್ಟ್ ಅನ್ನು ತೆರೆಯಿರಿ ಮತ್ತು ನಮೂದಿಸಿ:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
ನಾವು ನಮ್ಮ FQDN pfSense ಅನ್ನು ಎಲ್ಲಿ ಸೂಚಿಸುತ್ತೇವೆ, ಪ್ರಕರಣವನ್ನು ಗೌರವಿಸಲು ಮರೆಯದಿರಿ, ಮ್ಯಾಪ್ಯೂಸರ್ ಪ್ಯಾರಾಮೀಟರ್ನಲ್ಲಿ ನಾವು ನಮ್ಮ ಡೊಮೇನ್ ಖಾತೆ ಮತ್ತು ಅದರ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುತ್ತೇವೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋದಲ್ಲಿ ನಾವು ಎನ್ಕ್ರಿಪ್ಶನ್ ವಿಧಾನವನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ, ನಾನು ಕೆಲಸಕ್ಕಾಗಿ rc4 ಅನ್ನು ಬಳಸಿದ್ದೇನೆ ಮತ್ತು -ಔಟ್ ಕ್ಷೇತ್ರದಲ್ಲಿ ನಾವು ಎಲ್ಲಿ ಆಯ್ಕೆ ಮಾಡುತ್ತೇವೆ ನಾವು ನಮ್ಮ ರೆಡಿಮೇಡ್ ಕೀ ಫೈಲ್ ಅನ್ನು ಕಳುಹಿಸುತ್ತೇವೆ.
ಪ್ರಮುಖ ಫೈಲ್ ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ರಚಿಸಿದ ನಂತರ, ನಾವು ಅದನ್ನು ನಮ್ಮ pfSense ಗೆ ಕಳುಹಿಸುತ್ತೇವೆ, ಇದಕ್ಕಾಗಿ ನಾನು ದೂರವನ್ನು ಬಳಸಿದ್ದೇನೆ, ಆದರೆ ನೀವು ಇದನ್ನು ಆಜ್ಞೆಗಳು, ಪುಟ್ಟಿ ಅಥವಾ "ಡಯಾಗ್ನೋಸ್ಟಿಕ್ಸ್ ಕಮಾಂಡ್ ಲೈನ್" ವಿಭಾಗದಲ್ಲಿ pfSense ವೆಬ್ ಇಂಟರ್ಫೇಸ್ ಮೂಲಕ ಸಹ ಮಾಡಬಹುದು.
ಈಗ ನಾವು create /etc/krb5.conf ಸಂಪಾದಿಸಬಹುದು
ಅಲ್ಲಿ /etc/krb5.keytab ನಾವು ರಚಿಸಿದ ಪ್ರಮುಖ ಫೈಲ್ ಆಗಿದೆ.
Kinit ಅನ್ನು ಬಳಸಿಕೊಂಡು Kerberos ನ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ಮರೆಯದಿರಿ; ಅದು ಕೆಲಸ ಮಾಡದಿದ್ದರೆ, ಮುಂದೆ ಓದುವುದರಲ್ಲಿ ಯಾವುದೇ ಅರ್ಥವಿಲ್ಲ.
ಸ್ಕ್ವಿಡ್ ದೃಢೀಕರಣವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗುತ್ತಿದೆ ಮತ್ತು ದೃಢೀಕರಣ ಪ್ರವೇಶ ಪಟ್ಟಿ ಇಲ್ಲ
Kerberos ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ ನಂತರ, ನಾವು ಅದನ್ನು ನಮ್ಮ Squid ಗೆ ಲಗತ್ತಿಸುತ್ತೇವೆ.
ಇದನ್ನು ಮಾಡಲು, ServicesSquid ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ಗೆ ಹೋಗಿ ಮತ್ತು ಮುಖ್ಯ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ, ಅತ್ಯಂತ ಕೆಳಭಾಗಕ್ಕೆ ಹೋಗಿ, ಅಲ್ಲಿ ನಾವು "ಸುಧಾರಿತ ಸೆಟ್ಟಿಂಗ್ಗಳು" ಬಟನ್ ಅನ್ನು ಕಾಣಬಹುದು.
ಕಸ್ಟಮ್ ಆಯ್ಕೆಗಳು (ದೃಢೀಕರಣದ ಮೊದಲು) ಕ್ಷೇತ್ರದಲ್ಲಿ, ನಮೂದಿಸಿ:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authಎಲ್ಲಿ auth_param ಮಾತುಕತೆ ಕಾರ್ಯಕ್ರಮ /usr/local/libexec/squid/negotiate_kerberos_auth — ನಮಗೆ ಅಗತ್ಯವಿರುವ Kerberos ದೃಢೀಕರಣ ಸಹಾಯಕವನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತದೆ.
ಕೀ -s ಅರ್ಥದೊಂದಿಗೆ GSS_C_NO_NAME - ಕೀ ಫೈಲ್ನಿಂದ ಯಾವುದೇ ಖಾತೆಯ ಬಳಕೆಯನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ.
ಕೀ -k ಅರ್ಥದೊಂದಿಗೆ /usr/local/etc/squid/squid.keytab - ಈ ನಿರ್ದಿಷ್ಟ ಕೀಟ್ಯಾಬ್ ಫೈಲ್ ಅನ್ನು ಬಳಸಲು ನಿರ್ಧರಿಸುತ್ತದೆ. ನನ್ನ ವಿಷಯದಲ್ಲಿ, ಇದು ನಾವು ರಚಿಸಿದ ಅದೇ ಕೀಟ್ಯಾಬ್ ಫೈಲ್ ಆಗಿದೆ, ಅದನ್ನು ನಾನು /usr/local/etc/squid/ ಡೈರೆಕ್ಟರಿಗೆ ನಕಲಿಸಿದ್ದೇನೆ ಮತ್ತು ಸ್ಕ್ವಿಡ್ ಆ ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಸ್ನೇಹಿತರಾಗಲು ಬಯಸದ ಕಾರಣ ಅದನ್ನು ಮರುಹೆಸರಿಸಿದೆ, ಸ್ಪಷ್ಟವಾಗಿ ನಾನು ಹೊಂದಿಲ್ಲ ಸಾಕಷ್ಟು ಹಕ್ಕುಗಳು.
ಕೀ -t ಅರ್ಥದೊಂದಿಗೆ - ಯಾವುದೂ ಇಲ್ಲ - ಡೊಮೇನ್ ನಿಯಂತ್ರಕಕ್ಕೆ ಆವರ್ತಕ ವಿನಂತಿಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ, ಇದು ನೀವು 50 ಕ್ಕಿಂತ ಹೆಚ್ಚು ಬಳಕೆದಾರರನ್ನು ಹೊಂದಿದ್ದರೆ ಅದರ ಮೇಲಿನ ಲೋಡ್ ಅನ್ನು ಬಹಳವಾಗಿ ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.
ಪರೀಕ್ಷೆಯ ಸಮಯದಲ್ಲಿ, ನೀವು -d ಸ್ವಿಚ್ ಅನ್ನು ಕೂಡ ಸೇರಿಸಬಹುದು - ಅಂದರೆ ಡಯಾಗ್ನೋಸ್ಟಿಕ್ಸ್, ಹೆಚ್ಚಿನ ಲಾಗ್ಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ.
auth_param ಮಕ್ಕಳ ಮಾತುಕತೆ 1000 - ಎಷ್ಟು ಏಕಕಾಲಿಕ ದೃಢೀಕರಣ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ
auth_param ನೆಗೋಷಿಯೇಟ್ ಕೀಪ್_ಲೈವ್ ಆನ್ - ಅಧಿಕೃತ ಸರಪಳಿಯನ್ನು ಪೋಲಿಂಗ್ ಮಾಡುವಾಗ ಸಂಪರ್ಕ ಕಡಿತಗೊಳ್ಳುವುದನ್ನು ತಡೆಯುತ್ತದೆ
acl auth proxy_auth ಅಗತ್ಯವಿದೆ — ಅಧಿಕೃತ ಬಳಕೆದಾರರನ್ನು ಒಳಗೊಂಡಿರುವ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಪಟ್ಟಿಯನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಅಗತ್ಯವಿದೆ
acl nonauth dstdomain "/etc/squid/nonauth.txt" — ನಾವು ಸ್ಕ್ವಿಡ್ಗೆ ನಾನ್ನಾಥ್ ಪ್ರವೇಶ ಪಟ್ಟಿಯ ಕುರಿತು ತಿಳಿಸುತ್ತೇವೆ, ಇದು ಗಮ್ಯಸ್ಥಾನ ಡೊಮೇನ್ಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಅದನ್ನು ಯಾವಾಗಲೂ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಲಾಗುತ್ತದೆ. ನಾವು ಫೈಲ್ ಅನ್ನು ಸ್ವತಃ ರಚಿಸುತ್ತೇವೆ ಮತ್ತು ಅದರೊಳಗೆ ಡೊಮೇನ್ಗಳನ್ನು ಸ್ವರೂಪದಲ್ಲಿ ನಮೂದಿಸಿ
.whatsapp.com
.whatsapp.net
Whatsapp ಅನ್ನು ಒಂದು ಕಾರಣಕ್ಕಾಗಿ ಉದಾಹರಣೆಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ - ಇದು ದೃಢೀಕರಣದ ಪ್ರಾಕ್ಸಿಗಳ ಬಗ್ಗೆ ತುಂಬಾ ಮೆಚ್ಚಿಕೆಯಾಗಿದೆ ಮತ್ತು ದೃಢೀಕರಣದ ಮೊದಲು ಅದನ್ನು ಅನುಮತಿಸದಿದ್ದರೆ ಅದು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ.
http_access nonauth ಅನ್ನು ಅನುಮತಿಸಿ - ಎಲ್ಲರಿಗೂ ಈ ಪಟ್ಟಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಿ
http_access ನಿರಾಕರಿಸು !auth — ಅನಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ಇತರ ಸೈಟ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಾವು ನಿಷೇಧಿಸುತ್ತೇವೆ
http_access ದೃಢೀಕರಣವನ್ನು ಅನುಮತಿಸಿ - ಅಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಿ.
ಅಷ್ಟೆ, ಸ್ಕ್ವಿಡ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ, ಈಗ ಗುಂಪುಗಳ ಮೂಲಕ ಫಿಲ್ಟರ್ ಮಾಡಲು ಪ್ರಾರಂಭಿಸುವ ಸಮಯ.
SquidGuard ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ServicesSquidGuard ಪ್ರಾಕ್ಸಿ ಫಿಲ್ಟರ್ಗೆ ಹೋಗಿ.
LDAP ಆಯ್ಕೆಗಳಲ್ಲಿ ನಾವು Kerberos ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಿದ ನಮ್ಮ ಖಾತೆಯ ವಿವರಗಳನ್ನು ನಮೂದಿಸುತ್ತೇವೆ, ಆದರೆ ಈ ಕೆಳಗಿನ ಸ್ವರೂಪದಲ್ಲಿ:
CN=pfsense,OU=service-accounts,DC=domain,DC=localಸ್ಪೇಸ್ಗಳು ಅಥವಾ ಲ್ಯಾಟಿನ್ ಅಲ್ಲದ ಅಕ್ಷರಗಳಿದ್ದರೆ, ಈ ಸಂಪೂರ್ಣ ನಮೂದನ್ನು ಏಕ ಅಥವಾ ಎರಡು ಉಲ್ಲೇಖಗಳಲ್ಲಿ ಲಗತ್ತಿಸಬೇಕು:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"ಮುಂದೆ, ಈ ಪೆಟ್ಟಿಗೆಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು ಮರೆಯದಿರಿ:
ಅನಗತ್ಯ DOMAINpfsense ಅನ್ನು ಕತ್ತರಿಸಲು .LOCAL ಗೆ ಇಡೀ ವ್ಯವಸ್ಥೆಯು ತುಂಬಾ ಸೂಕ್ಷ್ಮವಾಗಿರುತ್ತದೆ.
ಈಗ ನಾವು ಗುಂಪು Acl ಗೆ ಹೋಗೋಣ ಮತ್ತು ನಮ್ಮ ಡೊಮೇನ್ ಪ್ರವೇಶ ಗುಂಪುಗಳನ್ನು ಬಂಧಿಸೋಣ, ನಾನು 0 ರವರೆಗೆ group_1, group_3, ಇತ್ಯಾದಿ ಸರಳ ಹೆಸರುಗಳನ್ನು ಬಳಸುತ್ತೇನೆ, ಅಲ್ಲಿ 3 ಎಂದರೆ ಬಿಳಿ ಪಟ್ಟಿಗೆ ಮಾತ್ರ ಪ್ರವೇಶ, ಮತ್ತು 0 ಎಂದರೆ ಎಲ್ಲವೂ ಸಾಧ್ಯ.
ಗುಂಪುಗಳನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಲಿಂಕ್ ಮಾಡಲಾಗಿದೆ:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))ನಾವು ನಮ್ಮ ಗುಂಪನ್ನು ಉಳಿಸುತ್ತೇವೆ, ಟೈಮ್ಸ್ಗೆ ಹೋಗಿ, ಅಲ್ಲಿ ನಾನು ಒಂದು ಅಂತರವನ್ನು ರಚಿಸಿದ್ದೇನೆ ಅಂದರೆ ಅದು ಯಾವಾಗಲೂ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಈಗ ನಾವು ಟಾರ್ಗೆಟ್ ವರ್ಗಗಳಿಗೆ ಹೋಗುತ್ತೇವೆ ಮತ್ತು ನಮ್ಮ ವಿವೇಚನೆಯಿಂದ ಪಟ್ಟಿಗಳನ್ನು ರಚಿಸುತ್ತೇವೆ, ಪಟ್ಟಿಗಳನ್ನು ರಚಿಸಿದ ನಂತರ ನಾವು ನಮ್ಮ ಗುಂಪುಗಳಿಗೆ ಹಿಂತಿರುಗುತ್ತೇವೆ ಮತ್ತು ಗುಂಪಿನೊಳಗೆ ನಾವು ಬಟನ್ಗಳನ್ನು ಬಳಸುತ್ತೇವೆ ಯಾರು ಎಲ್ಲಿಗೆ ಹೋಗಬಹುದು ಮತ್ತು ಯಾರು ಎಲ್ಲಿಗೆ ಹೋಗಬಾರದು ಎಂಬುದನ್ನು ಆಯ್ಕೆ ಮಾಡಲು.
ಲೈಟ್ಸ್ಕ್ವಿಡ್ ಮತ್ತು ಸ್ಕ್ವಾಟ್
ಸೆಟಪ್ ಪ್ರಕ್ರಿಯೆಯ ಸಮಯದಲ್ಲಿ ನಾವು ಸ್ಕ್ವಿಡ್ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಲೂಪ್ಬ್ಯಾಕ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಿದರೆ ಮತ್ತು ನಮ್ಮ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಮತ್ತು pfSense ನಲ್ಲಿ ಫೈರ್ವಾಲ್ನಲ್ಲಿ 7445 ಅನ್ನು ಪ್ರವೇಶಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ತೆರೆದರೆ, ನಾವು ಡಯಾಗ್ನೋಸ್ಟಿಕ್ಸ್ಸ್ಕ್ವಿಡ್ ಪ್ರಾಕ್ಸಿ ವರದಿಗಳಿಗೆ ಹೋದಾಗ ನಾವು ಸುಲಭವಾಗಿ sqstat ಮತ್ತು Lighsquid ಎರಡನ್ನೂ ತೆರೆಯಬಹುದು. ನಂತರ ನಮಗೆ ಅಗತ್ಯವಿದೆ ಅಲ್ಲಿ ನೀವು ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ ಬರಬಹುದು ಮತ್ತು ನೀವು ವಿನ್ಯಾಸವನ್ನು ಸಹ ಆಯ್ಕೆ ಮಾಡಬಹುದು.
ಪೂರ್ಣಗೊಂಡಿದೆ
pfSense ಎಂಬುದು ಬಹಳಷ್ಟು ಕೆಲಸಗಳನ್ನು ಮಾಡಬಲ್ಲ ಅತ್ಯಂತ ಶಕ್ತಿಶಾಲಿ ಸಾಧನವಾಗಿದೆ - ಟ್ರಾಫಿಕ್ ಅನ್ನು ಪ್ರಾಕ್ಸಿ ಮಾಡುವುದು ಮತ್ತು ಇಂಟರ್ನೆಟ್ಗೆ ಬಳಕೆದಾರರ ಪ್ರವೇಶವನ್ನು ನಿಯಂತ್ರಿಸುವುದು ಸಂಪೂರ್ಣ ಕಾರ್ಯಚಟುವಟಿಕೆಗಳ ಒಂದು ಧಾನ್ಯವಾಗಿದೆ, ಆದಾಗ್ಯೂ, 500 ಯಂತ್ರಗಳನ್ನು ಹೊಂದಿರುವ ಉದ್ಯಮದಲ್ಲಿ, ಇದು ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಿದೆ ಮತ್ತು ಉಳಿಸಲು ನಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಪ್ರಾಕ್ಸಿ ಖರೀದಿಯ ಮೇಲೆ.
ಮಧ್ಯಮ ಮತ್ತು ದೊಡ್ಡ ಉದ್ಯಮಗಳಿಗೆ ಸಾಕಷ್ಟು ಸೂಕ್ತವಾದ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಈ ಲೇಖನವು ಯಾರಿಗಾದರೂ ಸಹಾಯ ಮಾಡುತ್ತದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.
ಮೂಲ: www.habr.com