pfSense + Squid mat https Filteren + Single Sign-on (SSO) mat Active Directory Grupp Filterung
Kuerzfaarf
D'Firma brauch e Proxy-Server ëmzesetzen mat der Fäegkeet fir Zougang zu Siten (och https) duerch Gruppen vun AD ze filteren, sou datt d'Benotzer keng zousätzlech Passwierder aginn, a kënnen aus der Webinterface verwalt ginn. Gutt Applikatioun, ass et net?
Déi richteg Äntwert wier Léisunge wéi Kerio Control oder UserGate ze kafen, awer wéi ëmmer gëtt et keng Suen, awer et gëtt e Besoin.
Dëst ass wou de gudden alen Squid zur Rettung kënnt, awer nach eng Kéier - wou kann ech e Webinterface kréien? SAMS 2? Moralesch verouderd. Dëst ass wou pfSense zur Rettung kënnt.
Beschreiwung
Dësen Artikel wäert beschreiwen wéi Dir de Squid Proxy Server konfiguréiert.
Kerberos gëtt benotzt fir Benotzer ze autoriséieren.
SquidGuard gëtt benotzt fir no Domaingruppen ze filteren.
Lightsquid, sqstat an intern pfSense Iwwerwaachungssystemer gi fir Iwwerwaachung benotzt.
Et wäert och e gemeinsame Problem léisen, dee mat der Aféierung vun der Single Sign-on (SSO) Technologie assoziéiert, nämlech Uwendungen déi probéieren den Internet ënner dem Kompasskonto mat hirem Systemkonto ze surfen.
Preparéieren fir Squid z'installéieren
pfSense gëtt als Basis geholl,
An deem organiséieren mir Authentifikatioun op der Firewall selwer mat Domainkonten.
Et ass ganz wichteg!
Ier Dir ufänkt Squid z'installéieren, musst Dir den DNS-Server an pfsense konfiguréieren, en A-Rekord an e PTR-Rekord fir et op eisem DNS-Server maachen, an NTP konfiguréieren sou datt d'Zäit net vun der Zäit um Domain Controller ënnerscheet.
An op Ärem Netz, bitt d'Fäegkeet fir d'WAN-Interface vu pfSense op den Internet ze goen, an d'Benotzer um lokalen Netzwierk fir mat der LAN-Interface ze verbannen, och op Häfen 7445 an 3128 (a mengem Fall 8080).
Ass alles prett? Ass d'LDAP Verbindung mam Domain fir Autorisatioun op pfSense etabléiert an d'Zäit ass synchroniséiert? Super. Et ass Zäit den Haaptprozess unzefänken.
Installatioun an Pre-Configuratioun
Squid, SquidGuard a LightSquid ginn aus dem pfSense Package Manager an der Rubrik "System / Package Manager" installéiert.
No der erfollegräicher Installatioun, gitt op "Servicer / Squid Proxy Server /" an als éischt, an der Lokaler Cache Reiter, konfiguréieren Cache, ech setzen alles op 0, well Ech gesinn net vill Sënn am Cache Siten, Browser maachen eng super Aarbecht mat dësem. Nom Astellung, dréckt op de "Späicheren" Knäppchen um Enn vum Écran an dëst wäert eis d'Méiglechkeet ginn Basis Proxy Astellungen ze maachen.
D'Haaptrei Astellunge sinn wéi follegt:
De Standardport ass 3128, awer ech léiwer 8080 ze benotzen.
Déi gewielte Parameteren an der Proxy Interface Reiter bestëmmen op wéi eng Interfaces eise Proxy Server lauschtert. Well dës Firewall esou gebaut ass datt se um Internet als WAN Interface ausgesäit, och wann LAN a WAN um selwechte lokale Subnet kënne sinn, recommandéieren ech LAN fir de Proxy ze benotzen.
Loopback ass néideg fir sqstat ze schaffen.
Hei ënnen fannt Dir Transparent (transparent) Proxy Astellungen, souwéi SSL Filter, awer mir brauche se net, eise Proxy wäert net transparent sinn, a fir https Filteren ersetzen mir den Zertifika net (mir hunn Dokumentflow, Bank Clienten, etc.), loosst eis just den Handschlag kucken.
Op dëser Etapp musse mir op eisen Domain Controller goen, en Authentifikatiounskonto dran erstellen (Dir kënnt och deen benotzen dee fir d'Authentifikatioun op pfSense selwer konfiguréiert gouf). Hei ass e ganz wichtege Faktor - wann Dir wëlles AES128 oder AES256 Verschlësselung ze benotzen - kontrolléieren déi entspriechend Këschte an Äre Kont Astellunge.
Wann Är Domain e ganz komplexe Bësch ass mat enger grousser Zuel vu Verzeichnisser oder Ären Domain .local ass, dann ass et MÉIGLECH, awer net sécher, datt Dir en einfacht Passwuert fir dëse Kont benotze musst, de Feeler ass bekannt, awer et vläicht einfach net mat engem komplexe Passwuert funktionnéieren, musst Dir op e spezifesche bestëmmte Fall kucken.
Duerno erstellen mir eng Schlësseldatei fir Kerberos, öffnen eng Kommandoprompt mat Administratorrechter um Domain Controller a gitt:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Wou mir eis FQDN pfSense uginn, gitt sécher de Fall ze respektéieren, gitt eisen Domainkonto a säi Passwuert am Mapuser Parameter, a Krypto wielt d'Verschlësselungsmethod, ech hunn rc4 fir Aarbecht benotzt an am -out Feld wielt mir wou mir wäert eis fäerdeg Schlësseldatei schécken.
Nodeems Dir d'Schlësseldatei erfollegräich erstallt hutt, schécken mir et op eis pfSense, ech hunn wäit fir dëst benotzt, awer Dir kënnt dat och souwuel mat Kommandoen a Kitt maachen oder duerch d'pfSense Webinterface an der Rubrik "Diagnostic Command Line".
Elo kënne mir änneren / erstellen /etc/krb5.conf
wou /etc/krb5.keytab d'Schlësseldatei ass, déi mir erstallt hunn.
Gitt sécher d'Operatioun vu Kerberos mat Kinit ze kontrolléieren, wann et net funktionnéiert, ass et kee Sënn fir weider ze liesen.
Squid Authentifikatioun an Zougang Lëscht ouni Authentifikatioun konfiguréieren
Nodeems mir Kerberos erfollegräich konfiguréiert hunn, befestigen mir et op eise Squid.
Fir dëst ze maachen, gitt op ServicesSquid Proxy Server an an den Haaptastellungen erof bis ganz ënnen, do fanne mir de Knäppchen "Fortgeschratt Astellungen".
Am Feld Custom Options (Before Auth) gitt:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authwou auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth - wielt d'Authentifikatioun Kerberos Helper mir brauchen.
Schlëssel -s mat Bedeitung GSS_C_NO_NAME - definéiert d'Benotzung vun all Kont aus der Schlësseldatei.
Schlëssel -k mat Bedeitung /usr/local/etc/squid/squid.keytab - bestëmmt dës speziell Keytab Datei ze benotzen. A mengem Fall ass dëst déiselwecht Keytab Datei déi mir erstallt hunn, déi ech an den /usr/local/etc/squid/ Verzeichnis kopéiert hunn an et ëmbenannt hunn, well de Squid net mat deem Verzeichnis Frënn wollt sinn, anscheinend waren et net genuch Rechter.
Schlëssel -t mat Bedeitung -t keng - deaktivéiert zyklesch Ufroen un den Domain Controller, wat d'Laascht op et staark reduzéiert wann Dir méi wéi 50 Benotzer hutt.
Fir d'Dauer vum Test kënnt Dir och den -d Schlëssel addéieren - dh Diagnostik, méi Logbicher ginn ugewisen.
auth_param négociéieren Kanner 1000 - bestëmmt wéivill simultan Autorisatiounsprozesser kënne lafen
auth_param négociéieren keep_alive op - erlaabt net d'Verbindung während der Ofstëmmung vun der Autorisatiounskette ze briechen
acl auth proxy_auth REQUIRED - erstellt a verlaangt eng Zougangskontrolllëscht déi Benotzer enthält déi d'Autorisatioun passéiert hunn
acl nonauth dstdomain "/etc/squid/nonauth.txt" - Mir informéieren d'Squid iwwer d'Nonauth Zougangslëscht, déi Destinatiounsdomänen enthält, op déi jidderee ëmmer Zougang erlaabt ass. Mir erstellen d'Datei selwer, a bannen do aginn mir Domainen am Format
.whatsapp.com
.whatsapp.net
Whatsapp ass net vergeblech als Beispill benotzt - et ass ganz pickeg iwwer de Proxy mat Authentifikatioun a funktionnéiert net wann et net virun der Authentifikatioun erlaabt ass.
http_access erlaben nonauth - erlaabt Zougang zu dëser Lëscht fir jiddereen
http_access refuséieren !auth - mir verbidden Zougang zu onerlaabten Benotzer op aner Siten
http_access erlaabt auth - erlaben Zougang zu autoriséiert Benotzer.
Dat ass et, de Squid selwer ass konfiguréiert, elo ass et Zäit fir no Gruppen ze filteren.
SquidGuard konfiguréieren
Gitt op ServicesSquidGuard Proxy Filter.
An LDAP Optiounen aginn mir d'Donnéeën vun eisem Kont benotzt fir Kerberos Authentifikatioun, awer am folgenden Format:
CN=pfsense,OU=service-accounts,DC=domain,DC=localWann et Plazen oder net-laténgesch Zeeche sinn, soll dës ganz Entrée an eenzel oder duebel Zitaten zougemaach ginn:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Als nächst gitt sécher dës Këschte ze kontrolléieren:
Fir onnéideg DOMAINpfsense ofzeschneiden .LOCAL op déi de ganze System ganz sensibel ass.
Elo gi mir op Group Acl a binden eis Domain Zougangsgruppen, ech benotzen einfach Nimm wéi group_0, group_1, asw bis 3, wou 3 nëmmen Zougang zu der wäiss Lëscht ass, an 0 - alles ass méiglech.
Gruppen sinn wéi follegt verlinkt:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))späichert eise Grupp, gitt op Times, do hunn ech e Spalt erstallt, dat heescht ëmmer ze schaffen, gitt elo op Zilkategorien a erstellt Lëschte no eisem Diskretioun, nodeems mir d'Lëschte erstallt hunn, gi mir zréck an eis Gruppen a bannent der Grupp mat Knäppercher wielt wien ka goen wou, a wien net wou.
LightSquid an sqstat
Wa mir während dem Konfiguratiounsprozess e Loopback an de Squid-Astellunge gewielt hunn an d'Fäegkeet opgemaach hunn fir Zougang zu 7445 an der Firewall souwuel op eisem Netzwierk wéi och op pfSense selwer, da wa mir op Diagnostik vun Squid Proxy Reports goen, kënne mir einfach souwuel sqstat an opmaachen. Lighsquid, fir déi lescht wäerte mir brauchen Op der selwechter Plaz, kommt mat engem Benotzernumm a Passwuert, an et gëtt och d'Méiglechkeet en Design ze wielen.
Komplett
pfSense ass e ganz mächtegt Tool dat vill Saache maache kann - souwuel Traffic Proxying wéi och Kontroll iwwer de Benotzer Zougang zum Internet si just e Brochdeel vun der ganzer Funktionalitéit, awer an enger Entreprise mat 500 Maschinnen huet dëst de Problem geléist a gespäichert. e Proxy kafen.
Ech hoffen dësen Artikel hëlleft engem e Problem ze léisen, dee ganz relevant ass fir mëttel a grouss Entreprisen.
Source: will.com