도메인 권한이 있는 기업용 무료 프록시 서버

https 필터링이 있는 pfSense+Squid + Active Directory 그룹 필터링이 있는 SSO(Single Sign-On)

간단한 배경

회사는 사용자가 추가 암호를 입력하지 않고 웹 인터페이스에서 관리할 수 있도록 AD에서 그룹별로 사이트(https 포함)에 대한 액세스를 필터링하는 기능이 있는 프록시 서버를 구현해야 했습니다. 좋은 응용 프로그램입니다. 그렇지 않습니까?

정답은 Kerio Control이나 UserGate와 같은 솔루션을 구입하는 것이지만 항상 돈은 없지만 필요합니다.

이것은 좋은 오래된 Squid가 구조하러 오는 곳이지만 다시 웹 인터페이스를 얻을 수 있는 곳은 어디입니까? SAMS2? 도덕적으로 구식입니다. 이것은 pfSense가 구출되는 곳입니다.

기술

이 문서에서는 Squid 프록시 서버를 구성하는 방법을 설명합니다.
Kerberos는 사용자를 인증하는 데 사용됩니다.
SquidGuard는 도메인 그룹별로 필터링하는 데 사용됩니다.

Lightsquid, sqstat 및 내부 pfSense 모니터링 시스템이 모니터링에 사용됩니다.
또한 SSO(Single Sign-On) 기술의 도입과 관련된 일반적인 문제, 즉 시스템 계정을 사용하여 나침반 계정으로 인터넷 서핑을 시도하는 애플리케이션을 해결할 것입니다.

Squid 설치 준비

pfSense를 기본으로 하여 설치 지침.

내부에서 도메인 계정을 사용하여 방화벽 자체에서 인증을 구성합니다. 지침.

그것은 매우 중요합니다!

Squid 설치를 시작하기 전에 pfsense에서 DNS 서버를 구성하고 DNS 서버에서 A 레코드와 PTR 레코드를 만들고 시간이 도메인 컨트롤러의 시간과 다르지 않도록 NTP를 구성해야 합니다.

그리고 네트워크에서 pfSense의 WAN 인터페이스가 인터넷에 연결되고 로컬 네트워크의 사용자가 포트 7445 및 3128(제 경우에는 8080)을 포함하여 LAN 인터페이스에 연결하는 기능을 제공합니다.

모두 준비되었나요? pfSense에서 권한 부여를 위해 도메인과 LDAP 연결이 설정되어 있고 시간이 동기화되어 있습니까? 엄청난. 주요 프로세스를 시작할 때입니다.

설치 및 사전 구성

Squid, SquidGuard 및 LightSquid는 "시스템/패키지 관리자" 섹션의 pfSense 패키지 관리자에서 설치됩니다.

성공적으로 설치한 후 "서비스/오징어 프록시 서버/"로 이동하고 먼저 로컬 캐시 탭에서 캐싱을 구성합니다. 모든 것을 0으로 설정했습니다. 왜냐하면 사이트를 캐싱하는 데 별 의미가 없다고 생각합니다. 브라우저는 이 작업을 훌륭하게 수행합니다. 설정 후 화면 하단의 "저장" 버튼을 누르면 기본 프록시 설정을 할 수 있습니다.

주요 설정은 다음과 같습니다.

기본 포트는 3128이지만 8080을 선호합니다.

프록시 인터페이스 탭에서 선택한 매개변수는 프록시 서버가 청취할 인터페이스를 결정합니다. 이 방화벽은 인터넷에서 WAN 인터페이스로 보이는 방식으로 구축되었기 때문에 LAN과 WAN이 동일한 로컬 서브넷에 있을 수 있지만 프록시는 LAN을 사용하는 것이 좋습니다.

sqstat가 작동하려면 루프백이 필요합니다.

아래에서 투명(투명) 프록시 설정과 SSL 필터를 찾을 수 있지만 필요하지 않고 프록시가 투명하지 않으며 https 필터링의 경우 인증서를 교체하지 않습니다(문서 흐름, 은행 클라이언트 등), 악수만 봅시다.

이 단계에서 도메인 컨트롤러로 이동하여 인증 계정을 생성해야 합니다(pfSense 자체에서 인증을 위해 구성된 계정을 사용할 수도 있음). 다음은 매우 중요한 요소입니다. AES128 또는 AES256 암호화를 사용하려는 경우 계정 설정에서 해당 상자를 선택하십시오.

도메인이 많은 수의 디렉토리가 있는 매우 복잡한 포리스트이거나 도메인이 .local인 경우 이 계정에 간단한 암호를 사용해야 하는 것이 가능하지만 확실하지는 않습니다. 버그는 알려져 있지만 복잡한 암호로는 작동하지 않을 수 있으므로 특정 사례를 확인해야 합니다.

그런 다음 Kerberos용 키 파일을 만들고 도메인 컨트롤러에서 관리자 권한으로 명령 프롬프트를 열고 다음을 입력합니다.

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

FQDN pfSense를 표시하는 경우 대소 문자를 존중하고 mapuser 매개 변수에 도메인 계정과 암호를 입력하고 암호화에서 암호화 방법을 선택하고 작업에 rc4를 사용하고 -out 필드에서 우리가 선택하는 위치를 선택하십시오. 완성된 키 파일을 보내드립니다.
키 파일을 성공적으로 생성한 후 이를 pfSense로 보내겠습니다. 저는 이를 위해 Far를 사용했지만 명령과 퍼티를 사용하거나 "진단 명령줄" 섹션의 pfSense 웹 인터페이스를 통해 이 작업을 수행할 수도 있습니다.

이제 /etc/krb5.conf를 편집/생성할 수 있습니다.

여기서 /etc/krb5.keytab은 우리가 만든 키 파일입니다.

kinit를 사용하여 kerberos의 작동을 확인하십시오. 작동하지 않으면 더 이상 읽을 필요가 없습니다.

Squid 인증 및 인증 없이 액세스 목록 구성

Kerberos를 성공적으로 구성했으면 Squid에 고정합니다.

이렇게 하려면 ServicesSquid 프록시 서버로 이동하고 기본 설정에서 맨 아래로 내려가면 "고급 설정" 버튼이 있습니다.

사용자 지정 옵션(인증 전) 필드에 다음을 입력합니다.

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

어디 auth_param 협상 프로그램 /usr/local/libexec/squid/negotiate_kerberos_auth - 필요한 인증 Kerberos 도우미를 선택합니다.

열쇠 -s 의미 있는 GSS_C_NO_NAME — 키 파일에서 계정 사용을 정의합니다.

열쇠 -k 의미 있는 /usr/local/etc/squid/squid.keytab - 이 특정 keytab 파일을 사용하도록 결정합니다. 내 경우 이것은 우리가 만든 것과 동일한 keytab 파일이며 /usr/local/etc/squid/ 디렉토리에 복사하고 이름을 변경했습니다. 충분한 권리.

열쇠 -t 의미 있는 -t 없음 - 도메인 컨트롤러에 대한 주기적 요청을 비활성화하여 사용자가 50명 이상인 경우 로드를 크게 줄입니다.
테스트 기간 동안 -d 키를 추가할 수도 있습니다. 즉, 진단, 더 많은 로그가 표시됩니다.
auth_param 협상 하위 1000 - 동시에 실행할 수 있는 인증 프로세스 수를 결정합니다.
auth_param keep_alive 협상 - 인증 체인을 폴링하는 동안 연결을 끊을 수 없습니다.
acl auth proxy_auth 필수 - 인증을 통과한 사용자를 포함하는 액세스 제어 목록을 생성하고 요구합니다.
acl nonauth dstdomain "/etc/squid/nonauth.txt" - 모든 사람이 항상 액세스할 수 있는 대상 도메인이 포함된 nonauth 액세스 목록에 대해 squid에 알립니다. 파일 자체를 생성하고 그 안에 형식으로 도메인을 입력합니다.

.whatsapp.com
.whatsapp.net

Whatsapp은 헛된 예로 사용되지 않습니다. 인증이 있는 프록시에 대해 매우 까다롭고 인증 전에 허용되지 않으면 작동하지 않습니다.
http_access 비인증 허용 - 모든 사용자에게 이 목록에 대한 액세스 허용
http_access 거부! 인증 - 승인되지 않은 사용자가 다른 사이트에 액세스하는 것을 금지합니다.
http_access 허용 인증 - 인증된 사용자에게 액세스를 허용합니다.
그게 다야 오징어 자체가 구성되었으므로 이제 그룹별로 필터링을 시작할 차례입니다.

SquidGuard 구성

ServicesSquidGuard 프록시 필터로 이동합니다.

LDAP 옵션에서 Kerberos 인증에 사용되는 계정 데이터를 다음 형식으로 입력합니다.

CN=pfsense,OU=service-accounts,DC=domain,DC=local

공백이나 비라틴 문자가 있는 경우 이 전체 항목을 작은따옴표 또는 큰따옴표로 묶어야 합니다.

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

다음으로 다음 확인란을 선택해야 합니다.

불필요한 DOMAINpfsense를 차단하려면 DOMAIN전체 시스템이 매우 민감한 .LOCAL.

이제 Group Acl로 이동하여 도메인 액세스 그룹을 바인딩하고 group_0, group_1 등과 같은 간단한 이름을 최대 3까지 사용합니다. 여기서 3은 화이트리스트에만 액세스하고 0은 모든 것이 가능합니다.

그룹은 다음과 같이 연결됩니다.

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

그룹을 저장하고 Times로 이동하여 항상 작동한다는 의미의 간격을 하나 만들었습니다. 이제 대상 카테고리로 이동하여 재량에 따라 목록을 만들고 목록을 만든 후 그룹으로 돌아가고 그룹 내에서 버튼을 사용하여 선택합니다. 어디로 갈 수 있는 사람과 갈 수 없는 사람.

LightSquid 및 sqstat

구성 프로세스 중에 squid 설정에서 루프백을 선택하고 네트워크와 pfSense 자체의 방화벽에서 7445에 액세스할 수 있는 기능을 연 경우 Squid 프록시 보고서 진단으로 이동할 때 sqstat와 Lighsquid를 모두 쉽게 열 수 있습니다. 후자의 경우 같은 장소에서 사용자 이름과 비밀번호가 필요하며 디자인을 선택할 기회도 있습니다.

완성

pfSense는 많은 일을 할 수 있는 매우 강력한 도구입니다. 트래픽 프록시 및 인터넷에 대한 사용자 액세스 제어는 전체 기능의 일부에 불과하지만 500대의 시스템을 보유한 기업에서 이 문제를 해결하고 비용을 절감했습니다. 대리 구매.

이 기사가 중견 기업과 관련된 문제를 해결하는 데 도움이 되기를 바랍니다.

출처 : habr.com