ProHoster > Π‘Π»ΠΎΠ³ > administratio > Liberum ineundo servo pro coeptis apud domain auctoritatis

Liberum ineundo servo pro coeptis apud domain auctoritatis

Liberum ineundo servo pro coeptis apud domain auctoritatis

pfSense + Squid cum https eliquare + Single signum-on (SSO) cum Active Directory coetus eliquare

background brevis

Societas opus procurandi procuratorem ministrandi facultate colendi accessum ad sites (including https) per circulos ab AD ut utentes tesserae additae non intrant et e interfacii interreti administrari possunt. Bonum application, annon?

Recta responsio esset solutiones emere sicut Kerio Control vel UserGate, sed ut semper nulla pecunia, sed opus est.

Hoc ubi vetus Squid succurrit, sed rursus β€” ubi mihi telam interfaciem accipiam? SAMS2? Moraliter obsoleta. Haec ubi pfSense succurrit.

Description

Articulus hic describet quomodo Squid procuratorem ad configurandum.
Kerberos auctorizare utendum erit utentes.
SquidGuard eliquare per circulos dominicos adhibebitur.

Lightsquid, sqstat et pfSense internum systemata magna vigilantia adhibebitur.
Etiam problema commune solvet cum introductione unius signi-in (SSO) technologiae, nempe applicationes quae interretialem rationem cum rationum rationum circumvallare conantur.

Praeparans ut install Squid

pfSense bitur pro fundamento; Instructiones instruitur.

Intus quam authenticas instituimus in ipsa firewall utens rationibus dominicis. Instructiones.

Amet ipsum!

Priusquam incipias inaugurari Squid, debes configurare DNS servitorem in pfsense, fac recordum et PTR recordum pro illo nostro DNS servientis, et NTP configurare ita ut tempus non differat a tempore in ditione moderatoris.

Et in retis tuis, facultatem praebe LURIDI instrumenti pfSense ad interretialem adeundi, et utentes in retis localibus ad LAN interface coniungendi, in portibus 7445 et 3128 (in casu meo 8080).

Omnia parata? Estne nexus LDAP stabilitus cum dominio pro concessione in pfSense et de tempore synchronised? Magna. Sed tempus consectetur elit eu tincidunt.

Institutionem et figurationem praeeminentiae

Squid, SquidGuard et LightSquid instituentur ex involucro pfSense procurator in "System / Sarcina Procurator" sectionem.

Post institutionem prospere, vade ad "Services / Squid Proxy /" et imprimis in Loci Cache tab, configurare caching, omnia ad 0 constituo, quia Multum punctum in caching locis non video, navigatores hoc magnum officium faciunt. Post occasum puga pyga "save" in fundo scrinii preme et hoc nobis occasionem dabit ut occasus fundamentales procuratorem constituas.

Praecipuae occasus sunt hae:

Liberum ineundo servo pro coeptis apud domain auctoritatis

Portus default 3128 est, sed 8080 uti malo.

Electi parametri in Proxy Interface tab determinant quae intercedit in procuratorem nostrum audiet. Cum hic murus murus ita aedificatur ut interfacem WAN interreti aspiciat, licet LAN et WAN eiusdem subnet localis esse possit, LAN procuratorem uti commendo.

Loopback opus est pro sqstat ad operandum.

Infra invenies Occasus Transparens (perspicuus) procuratorem necnon SSL Filtrum, sed his non indigemus, procurator noster non perspicuus erit, et pro https eliquare libellum (habemus documentum fluxum, ripam clientes, etc.), videamus sicut handshake.

In hac scaena, necesse est nos ire ad nostrum dominium moderatorem, in eo rationem creare authenticas (potesis uti etiam illa quae ad authenticas de ipso pfSense configuratus est). Hic factor maximi momenti est - si AES128 vel AES256 encryption uti velis - opportunas loculos in rationi uncinis compesce.

Si dominium tuum silva valde implicata cum multis directoriis vel dominiis tuis est .locus, tunc possibilis est, sed non certum est, tesseram simplicem huius rationis uti debebis, cimex notus est, sed est. licet simpliciter non laborare cum tesserae implicata, in casu speciali particulari inspicias necesse est.

Liberum ineundo servo pro coeptis apud domain auctoritatis

Post hoc, file clavis kerberos creamus, mandatum promptum aperi cum ius administratoris in ditione moderatoris et intra:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

Ubi nostrum FQDN pfSense indicamus, scito casum observare, rationem nostram ac tesseram in tabulario parametri inire, et in crypto encryptionis methodum eligimus, rc4 operando usus sum et in campo quem eligimus ubi nos clavem file perfecta nostra mittet.
Post feliciter creans fasciculum clavem, eam mittemus ad nostrum pfSense, longe ad hoc usus sum, sed hoc quoque facere potes tum per mandata et putty vel per telam pfSense in sectione "Diagnostici Imperii".

Nunc recensere/creare /etc/krb5.conf . possumus

Liberum ineundo servo pro coeptis apud domain auctoritatis

ubi /etc/krb5.keytab fasciculus clavis est nobis creati.

Vide ut operationem kerberos utentes kinit sisto, si non operatur, nihil attinet ulterius legere.

Vestibulum Squid authenticitate et Access List sine authenticitate

Feliciter kerberos conformatus, Squid nostro figemus.

Ad hoc fac, vade ad ServicesSquid Proxy Servo et in occasus principales usque ad fundum descende, ibi bullam "Advanced settings" invenies.

In Optionum Custom (Ante Auth) campum, intra:

#Π₯Π΅Π»ΠΏΠ΅Ρ€Ρ‹
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Бписки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Π Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

ubi auth_param tractandi programmata /usr/loci/libexec/squid/negotiate_kerberos_auth β€” Authenticas eligat kerberos adiuvantis nobis necessarii.

clavem -s cum significatione GSS_C_NO_NAME - definit usum cuiuslibet rationis ex clavibus fasciculi.

clavem -k cum significatione /usr/loci/etc/squid/squid.keytab - hoc certo keytab lima uti decernit. In casu meo, haec eadem est fasciculus keytab quem creavimus, quem ad directorium /usr/local/etc/squid/renominavi et exscripsimus, quia squid amici esse noluerunt cum directorio illo, non apparenter. satis tribuit.

clavem -t cum significatione t nemo - cyclica petitiones disables ad moderatoris domain, quae valde onus in eo minuit, si plus quam 50 utentes habes.
Pro duratione experimenti, addere potes clavis - i.e. diagnostica, plura ostendentur.
auth_param adferens filios 1000 - decernit quot processuum auctoritatis simultaneum potest currere
auth_param legatos keep_alive on - nexum rumpere non permittit in suffragio catenae concessionis
acl auth proxy_auth EXPECTATUS - creat et requirit accessum imperium album quod includit users qui potestatem habent
acl nonauth dstdomain "/etc/squid/nonauth.txt" - Indicamus lolligo de nonauth album accessum, quod destinationes continet ditiones, ad quas omnes aditus semper licebit. Tabellam ipsam creamus, eamque intra dominia in forma intramus

.whatsapp.com
.whatsapp.net

Whatsapp frustra exemplo usus non est - valde picky de procuratorio cum authenticitate et non laborabit si ante authenticas non licet.
http_access patitur nonauth - aditum ad hunc album omnibus permittere
http_access negare! auth - prohibemus aditum alienum users ad alias sites
http_access patitur auth - aditum permittere ad auctoritatem users.
Hoc est, ipsum squid configuratur, nunc tempus est eliquare per circulos.

Vestibulum SquidGuard

Vade ad ServicesSquidGuard Proxy Filter.

In Optionibus LDAP notitias rationis nostrae pro kerberos authenticas adhibitas inimus, sed in forma sequenti:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

Si spatia sint vel characteribus non latinis, totus hic ingressum debet includere singulis vel duplicibus virgulis:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

Deinde scito has cistas inhibere:

Liberum ineundo servo pro coeptis apud domain auctoritatis

Praecidere necesse DOMAINpfsense REGNUM.LOCAL cui tota ratio sensitiva est.

Nunc ad Group Acl imus et ad accessum nostrum domain ligamus circulos, nominibus simplicibus utimur sicut group_0, group_1, etc. usque ad 3, ubi 3 tantum accessus ad album album, et 0 - omnia possibilia sunt.

Sodalitates coniunguntur hoc modo:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

praeter coetus nostros, vade ad tempora, ibi unum intervallum significavi ad operandum, nunc ad Target Categorias adi et listas ad nostrum arbitrium creandas, postquam schedas nostras ad circulos nostros redimus et intra coetum globulis eligimus qui ire possunt. ubi et qui non ubi.

LightSquid et sqstat

Si in processu configurationis delegimus loopback in squid in fundis et facultatem aperimus accessum 7445 in firewall tam in retis nostris quam in ipso sensu, tum cum ad Squid Proxy Renuntiationes Diagnostics euntes, tum sqstat et Lighsquid facile aperire possumus, In hoc loco opus erit, cum usoris tesserae ascendet, et consilium quoque est facultas eligendi.

completionem

pfSense instrumentum validissimum est quod multum facere potest - tum negotiatio procuratio et potestas in usuario accessu ad Interreti sunt sicut fractio totius functionis; nihilominus in incepto cum 500 machinis, hoc problema solvendum et servatum est. emens procuratorem.

Spero hunc articulum iuvabit aliquem problema solvendum, quod ad medium et magnas inceptas satis pertinet.

Source: www.habr.com