Bezmaksas starpniekserveris uzņēmumam ar domēna autorizāciju

pfSense+Squid ar https filtrēšanu + vienreizējās pierakstīšanās tehnoloģija (SSO) ar filtrēšanu pēc Active Directory grupām

Īss fons

Uzņēmumam bija jāievieš starpniekserveris ar iespēju filtrēt piekļuvi vietnēm (tostarp https) pa grupām no AD, lai lietotāji neievadītu nekādas papildu paroles, un administrēšanu varētu veikt no tīmekļa saskarnes. Nav slikta aplikācija, vai ne?

Pareizā atbilde būtu iegādāties tādus risinājumus kā Kerio Control vai UserGate, bet kā vienmēr naudas nav, bet vajadzība ir.

Šeit mūs glābj vecais labais Squid, bet atkal — kur es varu iegūt tīmekļa saskarni? SAMS2? Morāli novecojis. Šeit palīgā nāk pfSense.

Apraksts

Šajā rakstā ir aprakstīts, kā konfigurēt Squid starpniekserveri.
Lietotāju autorizācijai tiks izmantots Kerberos.
SquidGuard tiks izmantots, lai filtrētu pēc domēnu grupām.

Monitoringam tiks izmantotas Lightsquid, sqstat un iekšējās pfSense monitoringa sistēmas.
Tiks atrisināta arī izplatīta problēma, kas saistīta ar vienotās pierakstīšanās (SSO) tehnoloģijas ieviešanu, proti, lietojumprogrammas, kas mēģina piekļūt internetam, izmantojot sava sistēmas konta kompasa kontu.

Sagatavošanās Squid instalēšanai

pfSense tiks izmantots par pamatu, Uzstādīšanas instrukcijas.

Kurā mēs organizējam autentifikāciju pašam ugunsmūrim, izmantojot domēna kontus. Instrukcijas.

Tas ir ļoti svarīgi!

Pirms Squid instalēšanas ir jākonfigurē DNS serveris pfsense, jāizveido tam A ieraksts un PTR ieraksts mūsu DNS serverī un jākonfigurē NTP tā, lai laiks neatšķirtos no domēna kontrollera laika.

Un savā tīklā nodrošiniet iespēju pfSense WAN interfeisam piekļūt internetam un lokālā tīkla lietotājiem izveidot savienojumu ar LAN interfeisu, tostarp izmantojot portu 7445 un 3128 (manā gadījumā 8080).

Vai viss ir gatavs? Vai domēns ir savienots, izmantojot LDAP, lai veiktu autorizāciju pakalpojumā pfSense, un vai laiks ir sinhronizēts? Lieliski. Ir pienācis laiks sākt galveno procesu.

Uzstādīšana un iepriekšēja konfigurācija

Mēs instalēsim Squid, SquidGuard un LightSquid no pfSense pakotņu pārvaldnieka sadaļā “Sistēmas/pakešu pārvaldnieks”.

Pēc veiksmīgas instalēšanas dodieties uz “Services/Squid Proxy serveris/” un vispirms cilnē Local Cache konfigurējiet kešatmiņu, es iestatīju visu uz 0, jo Es neredzu lielu jēgu vietņu saglabāšanai kešatmiņā; pārlūkprogrammas ar to tiek galā lieliski. Pēc iestatīšanas nospiediet pogu “Saglabāt” ekrāna apakšā, un tas dos mums iespēju veikt pamata starpniekservera iestatījumus.

Galvenie iestatījumi ir šādi:

Noklusējuma ports ir 3128, bet es gribētu izmantot 8080.

Cilnē Starpniekservera interfeiss atlasītie parametri nosaka, kuras saskarnes klausīsies mūsu starpniekserveris. Tā kā šis ugunsmūris ir izveidots tā, ka tas skatās uz internetu caur WAN interfeisu, lai gan LAN un WAN var būt vienā lokālajā apakštīklā, iesaku starpniekserverim izmantot LAN.

Lai sqstat darbotos, ir nepieciešama atpakaļcilpa.

Zemāk atradīsiet Transparent starpniekservera iestatījumus, kā arī SSL filtru, taču tie mums nav vajadzīgi, mūsu starpniekserveris nebūs caurspīdīgs, kā arī https filtrēšanai mēs nenodarbosimies ar sertifikātu aizstāšanu (galu galā mums ir dokumentu pārvaldība , banku klienti utt.), Paskatīsimies tikai uz rokasspiedienu.

Šajā posmā mums ir jādodas uz mūsu domēna kontrolleri, jāizveido tajā autentifikācijas konts (varat izmantot arī to, kuru konfigurējāt autentifikācijai pašā pfSense). Šeit ļoti svarīgs faktors ir tas, ka, ja plānojat izmantot AES128 vai AES256 šifrēšanu, konta iestatījumos atzīmējiet atbilstošās izvēles rūtiņas.

Ja jūsu domēns ir ļoti sarežģīts mežs ar lielu skaitu direktoriju vai jūsu domēns ir .local, tad IESPĒJAMS, bet ne droši, jums šim kontam būs jāizmanto vienkārša parole, kļūda ir zināma, bet ar sarežģītu parole tā var vienkārši nedarboties, jums jāpārbauda konkrēts individuāls gadījums.

Pēc visa tā mēs domēna kontrollerī izveidojam Kerberos atslēgas failu, atveram komandu uzvedni ar administratora tiesībām un ievadiet:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

Ja mēs norādām savu FQDN pfSense, noteikti ievērojiet reģistru, mapuser parametrā mēs ievadām savu domēna kontu un tā paroli, un kriptovalūtā mēs izvēlamies šifrēšanas metodi, es izmantoju rc4 darbam un laukā -out mēs atlasām, kur mēs nosūtīsim mūsu gatavo atslēgas failu.
Pēc veiksmīgas atslēgas faila izveides mēs to nosūtīsim uz mūsu pfSense, šim nolūkam es izmantoju Far, bet jūs varat arī to izdarīt, izmantojot komandas, tepe vai pfSense tīmekļa saskarni sadaļā “Diagnostics Command Line”.

Tagad mēs varam rediģēt izveidot /etc/krb5.conf

kur /etc/krb5.keytab ir mūsu izveidotais atslēgas fails.

Noteikti pārbaudiet Kerberos darbību, izmantojot kinit; ja tas nedarbojas, nav jēgas lasīt tālāk.

Squid autentifikācijas un bez autentifikācijas piekļuves saraksta konfigurēšana

Kad Kerberos ir veiksmīgi konfigurēts, mēs to pievienosim savam Squid.

Lai to izdarītu, dodieties uz ServicesSquid Proxy Server un galvenajos iestatījumos dodieties uz pašu apakšu, tur mēs atradīsim pogu “Papildu iestatījumi”.

Laukā Pielāgotās opcijas (pirms autentifikācijas) ievadiet:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

kur auth_param sarunu programma /usr/local/libexec/squid/negotiate_kerberos_auth — atlasa mums nepieciešamo Kerberos autentifikācijas palīgu.

Taustiņš -s ar nozīmi GSS_C_NO_NAME — nosaka jebkura konta izmantošanu no atslēgas faila.

Taustiņš -k ar nozīmi /usr/local/etc/squid/squid.keytab — nosaka izmantot šo konkrēto keytab failu. Manā gadījumā šis ir tas pats keytab fails, ko mēs ģenerējām, kuru es nokopēju direktorijā /usr/local/etc/squid/ un pārdēvēju, jo kalmārs nevēlējās draudzēties ar šo direktoriju, acīmredzot man nebija pietiekami daudz tiesību.

Taustiņš -t ar nozīmi - nav neviena — atspējo cikliskos pieprasījumus domēna kontrollerim, kas ievērojami samazina tā slodzi, ja jums ir vairāk nekā 50 lietotāju.
Pārbaudes laikā varat pievienot arī slēdzi -d - t.i., diagnostiku, tiks parādīti vairāk žurnālu.
auth_param sarunāt bērnus 1000 — nosaka, cik vienlaicīgu autorizācijas procesu var uzsākt
auth_param sarunāties keep_alive on — novērš savienojuma atvienošanu autorizācijas ķēdes aptaujas laikā
acl auth proxy_auth OBLIGĀTS — izveido un pieprasa piekļuves kontroles sarakstu, kurā ir iekļauti autorizēti lietotāji
acl nonauth dstdomain "/etc/squid/nonauth.txt" — mēs informējam kalmārus par nonauth piekļuves sarakstu, kurā ir mērķa domēni, kuriem vienmēr būs atļauts piekļūt ikvienam. Mēs izveidojam pašu failu un ievadām tajā esošos domēnus formātā

.whatsapp.com
.whatsapp.net

Whatsapp tiek izmantots kā piemērs iemesla dēļ - tas ir ļoti izvēlīgs attiecībā uz autentifikācijas starpniekserveriem un nedarbosies, ja tas nav atļauts pirms autentifikācijas.
http_access atļaut nonauth — atļaut ikvienam piekļūt šim sarakstam
http_piekļuves aizliegums !auth — mēs aizliedzam neautorizētiem lietotājiem piekļuvi citām vietnēm
http_access atļaut autentifikāciju — atļaut piekļuvi pilnvarotiem lietotājiem.
Tas arī viss, pats Squid ir konfigurēts, tagad ir pienācis laiks sākt filtrēšanu pēc grupām.

SquidGuard iestatīšana

Dodieties uz ServicesSquidGuard starpniekservera filtru.

Sadaļā LDAP opcijas mēs ievadām Kerberos autentifikācijai izmantotā konta informāciju, bet šādā formātā:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

Ja ir atstarpes vai rakstzīmes, kas nav latīņu rakstzīmes, viss šis ieraksts ir jāiekļauj vienpēdiņās vai dubultpēdiņās:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

Pēc tam noteikti atzīmējiet šīs izvēles rūtiņas:

Lai nogrieztu nevajadzīgo DOMAINpfsense DOMAIN.LOCAL, pret kuru visa sistēma ir ļoti jutīga.

Tagad ejam uz Group Acl un saistīsim mūsu domēna piekļuves grupas. Es izmantoju vienkāršus nosaukumus, piemēram, group_0, group_1 utt. līdz 3, kur 3 nozīmē piekļuvi tikai baltajam sarakstam, bet 0 nozīmē, ka viss ir iespējams.

Grupas ir saistītas šādi:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

mēs saglabājam savu grupu, dodamies uz Times, tur es izveidoju vienu spraugu, kas nozīmē, ka tas vienmēr darbosies, tagad mēs ejam uz mērķa kategorijas un veidojam sarakstus pēc saviem ieskatiem, pēc sarakstu izveidošanas mēs atgriežamies savās grupās un grupas ietvaros lietojam pogas lai atlasītu, kurš kur var doties un kurš kur nevar doties.

LightSquid un sqstat

Ja iestatīšanas procesā mēs squid iestatījumos atlasījām loopback un ugunsmūrī atvērām iespēju piekļūt 7445 gan mūsu tīklā, gan pašā pfSense, tad, atverot DiagnosticsSquid Proxy Reports, mēs varam viegli atvērt gan sqstat, gan Lighsquid. pēdējais mums būs vajadzīgs Tur jūs varat izdomāt pieteikumvārdu un paroli, kā arī izvēlēties dizainu.

Pabeigšana

pfSense ir ļoti jaudīgs rīks, kas var paveikt daudzas lietas – trafika starpniekserverēšana un lietotāju piekļuves internetam kontrole ir tikai daļa no visas funkcionalitātes, tomēr uzņēmumā ar 500 iekārtām tas atrisināja problēmu un ļāva ietaupīt par proxy iegādi.

Es ceru, ka šis raksts kādam palīdzēs atrisināt problēmu, kas ir diezgan aktuāla vidējiem un lieliem uzņēmumiem.

Avots: www.habr.com