pfSense+Squid me te tātari https + Waitohu-kotahi (SSO) me te tātari roopu Active Directory
He korero poto
I hiahia te kamupene ki te whakatinana i tetahi tūmau takawaenga me te kaha ki te tarai i te uru ki nga waahi (tae atu ki te https) e nga roopu mai i te AD kia kore ai nga kaiwhakamahi e whakauru i etahi atu kupuhipa, ka taea te whakahaere mai i te atanga tukutuku. He pai te tono, kaore?
Ko te whakautu tika ko te hoko i nga otinga penei i te Kerio Control or UserGate ranei, engari i nga wa katoa kaore he moni, engari he hiahia.
Koinei te waahi ka tae mai te Wheke tawhito pai ki te whakaora, engari ano - kei hea e whiwhi atanga tukutuku? SAMS2? Moutere tawhito. Koinei te waahi ka tae mai a pfSense ki te whakaora.
Whakaahuatanga
Ma tenei tuhinga e whakaahua me pehea te whirihora i te tūmau takawaenga Squid.
Ka whakamahia a Kerberos hei whakamana i nga kaiwhakamahi.
Ka whakamahia a SquidGuard ki te tātari ma nga roopu rohe.
Ka whakamahia nga punaha tirotiro a Lightsquid, sqstat me te pfSense mo te aro turuki.
Ka whakatauhia ano he raru noa e pa ana ki te whakaurunga o te hangarau hainatanga kotahi (SSO), ara ko nga tono e ngana ana ki te ngaru i te Ipurangi i raro i te kaute kapehu me o raatau putea punaha.
E whakareri ana ki te whakauru Wheke
Ka tangohia te pfSense hei kaupapa,
I roto e whakarite motuhēhēnga i runga i te pātūahi ake mā te whakamahi i ngā pūkete rohe.
He mea tino nui!
I mua i to tiimata ki te whakauru i te Squid, me whirihora e koe te tūmau DNS i roto i te pfsense, hanga he rekoata A me te rekoata PTR mo taua mea i runga i to maatau DNS, me te whirihora i te NTP kia kore ai te wa e rereke mai i te wa i runga i te kaiwhakahaere rohe.
Na i runga i to whatunga, whakarato i te kaha mo te atanga WAN o pfSense ki te haere ki te Ipurangi, me nga kaiwhakamahi i runga i te whatunga rohe ki te hono atu ki te atanga LAN, tae atu ki nga tauranga 7445 me 3128 (i taku keehi 8080).
Kua reri katoa? Kua whakaritea te hononga LDAP me te rohe mo te whakamanatanga i runga i te pfSense me te tukutahitanga o te waa? Nui. Kua tae ki te wa ki te timata i te tukanga matua.
Te whakaurunga me te whirihoranga o mua
Ka whakauruhia a Squid, SquidGuard me LightSquid mai i te kaiwhakahaere kete pfSense i te waahanga "System / Package Manager".
I muri i te whakaurunga angitu, haere ki "Ratonga / Squid Proxy server /" me te tuatahi, i roto i te ripa Keteroki Rohe, whirihora te keteroki, ka tautuhia e ahau nga mea katoa ki te 0, no te mea Kaore au e kite i nga waahi o nga waahi keteroki, he pai te mahi a nga kaitirotiro ki tenei. I muri i te tautuhi, pehia te paatene "Tiaki" kei raro o te mata ka whai waahi ki te hanga i nga tautuhinga takawaenga taketake.
Ko nga tautuhinga matua e whai ake nei:
Ko te tauranga taunoa ko 3128, engari he pai ake taku whakamahi i te 8080.
Ko nga tawhā kua tohua i roto i te ripa Atanga Takawaenga ka whakatau ko wai nga atanga ka whakarongohia e to maatau tūmau takawaenga. I te mea kua hangaia tenei papangaahi i runga i te ahua o te Ipurangi hei atanga WAN, ahakoa ka taea e LAN me te WAN te noho i runga i te kupenga iti o te rohe, ka tūtohu ahau ki te whakamahi i te LAN mo te takawaenga.
Kei te hiahiatia te Loopback mo te mahi sqstat.
Kei raro iho ka kitea e koe nga tautuhinga takawaenga Transparent (maata) me te SSL Filter, engari kaore e hiahiatia ana e matou, kare to maatau takawaenga e marama, a mo te tātari https kaore matou e whakakapi i te tiwhikete (kei a matou te rerenga tuhinga, peeke. kiritaki, etc.), kia titiro noa tatou ki te rūrū.
I tenei wa, me haere ki to tatou kaiwhakahaere rohe, hanga he kaute motuhēhēnga kei roto (ka taea hoki e koe te whakamahi i te mea i whirihorahia mo te motuhēhēnga i runga i te pfSense ake). Anei tetahi take tino nui - mena ka hiahia koe ki te whakamahi i te whakamunatanga AES128, AES256 ranei - tirohia nga pouaka e tika ana i roto i to tautuhinga putea.
Mena he ngahere tino uaua to rohe me te maha o nga raarangi whaiaronga, ko to rohe ranei he .rohe, katahi ka KAEA, engari kaore i te tino mohio, me whakamahi koe i tetahi kupuhipa ngawari mo tenei kaute, kua mohiotia te bug, engari Kaore pea e mahi me tetahi kupuhipa uaua, me tirotiro koe mo tetahi keehi motuhake.
I muri i tera, ka hangaia e matou he konae matua mo te kerberos, whakatuwherahia he whakahau whakahau me nga mana kaiwhakahaere i runga i te kaiwhakahaere rohe ka uru ki:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Te wahi e tohu ana matou i to tatou FQDN pfSense, kia mohio koe ki te whakaute i te keehi, uru atu ki ta maatau kaute rohe me tana kupuhipa i roto i te tawhā mapuser, a i roto i te crypto ka tohua e matou te tikanga whakamunatanga, i whakamahia e ahau te rc4 mo te mahi me te waahanga -out ka tohua e matou te waahi. ka tukuna to maatau kōnae matua kua oti.
I muri i te angitu o te hanga i te konae matua, ka tukuna atu e matou ki ta maatau pfSense, I whakamahia e au a Far mo tenei, engari ka taea e koe te mahi ma nga whakahau me te putty, ma te atanga paetukutuku pfSense ranei i te waahanga "Diagnostics Command Line".
Inaianei ka taea e tatou te whakatika/hanga /etc/krb5.conf
kei hea /etc/krb5.keytab te kōnae matua i hanga e matou.
Kia mohio koe ki te tirotiro i te mahi a te kerberos ma te whakamahi i te kinit, ki te kore e mahi, kaore he take mo te panui atu.
Te whirihora i te Motuhēhēnga Wēke me te Rārangi Uru me te kore motuhēhēnga
Ka oti te whirihora i nga kerberos, ka whakamauhia ki to tatou Weke.
Ki te mahi i tenei, haere ki te ServicesSquid Proxy Server a ki nga tautuhinga matua ka heke iho ki raro rawa, ka kitea e matou te paatene "Tautuhinga Arā".
I roto i te Kōwhiringa Ritenga (I mua i te Whakatau) mara, tomo:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authkei hea kaupapa whiriwhiringa auth_param /usr/local/libexec/squid/negotiate_kerberos_auth - ka kowhiri i te kaiawhina kerberos motuhēhē e hiahiatia ana.
Kī -s me te tikanga GSS_C_NO_NAME — ka tautuhi i te whakamahinga o tetahi kaute mai i te konae matua.
Kī -k me te tikanga /usr/local/etc/squid/squid.keytab - ka whakatau ki te whakamahi i tenei konae ripa matua. I roto i taku keehi, ko te konae ripa matua ano tenei i hanga e matou, i kapea e au ki te raarangi /usr/local/etc/squid/ ka whakaingoatia ano, na te mea karekau te wheke i pirangi ki te whakahoa ki tera raarangi, te ahua nei kaore tika rawa.
Kī -t me te tikanga -karekau - ka whakakore i nga tono hurihanga ki te kaiwhakahaere rohe, ka tino whakaitihia te uta ki runga mena ka neke ake i te 50 nga kaiwhakamahi.
Mo te roanga o te whakamatautau, ka taea ano e koe te taapiri i te ki -d - ara ko nga tātaritanga, ka whakaatuhia etahi atu raarangi.
auth_param whiriwhiri tamariki 1000 - ka whakatau e hia nga tukanga whakamana tukutahi ka taea te whakahaere
auth_param whiriwhiri kia mau_ora tonu - kaore e whakaae kia pakaru te hononga i te wa o te pooti o te mekameka whakamana
acl auth proxy_auth ME WHAKAMAHI - ka waihanga me te tono rarangi mana uru kei roto nga kaiwhakamahi kua paahitia te whakamanatanga
acl nonauth dstdomain "/etc/squid/nonauth.txt" - ka whakamohio atu matou ki te wheke mo te rarangi urunga kore mana, kei roto nga rohe whainga, ka whakaaehia nga tangata katoa ki te uru. Ka waihangahia e matou te konae ake, ka uru ki roto nga rohe ki te whakatakotoranga
.whatsapp.com
.whatsapp.net
Kaore a Whatsapp i te whakamahi hei tauira - he tino pai mo te takawaenga me te motuhēhēnga me te kore e mahi mena kaore e whakaaetia i mua i te whakamotuhēhēnga.
http_access whakaaetia nonauth - tukua te uru ki tenei rarangi ki te katoa
http_access deny !auth - ka aukatihia e matou te uru atu ki nga kaiwhakamahi kore mana ki etahi atu pae
http_access whakaaetia te mana - tuku uru ki nga kaiwhakamahi whai mana.
Koia, ko te wheke tonu kua whirihora, inaianei kua tae ki te wa ki te tarai i nga roopu.
Whirihora SquidGuard
Haere ki ServicesSquidGuard Takawaenga Tātari.
I roto i nga Kōwhiringa LDAP ka whakauruhia e matou nga raraunga o ta maatau kaute i whakamahia mo te motuhēhēnga kerberos, engari i roto i te whakatakotoranga e whai ake nei:
CN=pfsense,OU=service-accounts,DC=domain,DC=localMēnā he mokowā, he pūāhua ehara rānei i te reo Raina, me kopaki katoa tēnei tāurunga ki ngā korukī kotahi, takirua rānei:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Whai muri, tirohia enei pouaka:
Hei tapahi i te DOMAINpfsense koretake .LOCAL e tino tairongo ana te punaha katoa.
Inaianei ka haere matou ki te Roopu Acl ka herea o matou roopu uru rohe, ka whakamahia e au nga ingoa ngawari penei i te group_0, group_1, me etahi atu tae atu ki te 3, kei te 3 te uru ki te rarangi ma, me te 0 - ka taea nga mea katoa.
Ko nga roopu e hono ana e whai ake nei:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))tiakina to tatou roopu, haere ki Times, i reira i hanga e au he waahi kotahi te tikanga ka mahi tonu, inaianei haere ki nga Waahanga Whakataunga ka hanga rarangi i runga i ta tatou whakaaro, i muri i te hanga i nga rarangi ka hoki atu ki o tatou roopu me roto i te roopu, whakamahia nga paatene hei whiriwhiri ko wai ka taea te haere ki hea, ko wai e kore e haere ki hea .
LightSquid me te sqstat
Mena i te wa o te whirihoranga i kowhiria e matou he kopikopiko i roto i nga tautuhinga wheke me te whakatuwhera i te kaha ki te uru atu ki te 7445 i roto i te papangaahi i runga i ta maatau whatunga me te pfSense ake, katahi ka haere matou ki te Diagnostics of Squid Proxy Reports, ka ngawari te whakatuwhera i nga sqstat me Lighsquid, mo te whakamutunga ka hiahia tatou I roto i te wahi ano, haere mai ki runga ki te ingoa kaiwhakamahi me te kupuhipa, me i reira he hoki te whai wāhi ki te whiriwhiri i te hoahoa.
Whakaoti
Ko te pfSense he taputapu tino kaha ka taea e koe te mahi i nga mahi maha - ko te takawaenga waka me te mana whakahaere mo te urunga o nga kaiwhakamahi ki te Ipurangi he hautanga noa o nga mahi katoa, heoi, i roto i te umanga me nga miihini 500, na tenei i whakaoti te raru me te penapena te hoko takawaenga.
Ko taku tumanako ka awhina tenei tuhinga ki tetahi ki te whakaoti rapanga e tino tika ana mo nga umanga reo me nga umanga nui.
Source: will.com