🥇डोमेन अधिकृततेसह एंटरप्राइझसाठी विनामूल्य प्रॉक्सी सर्व्हर

https फिल्टरिंगसह pfSense+Squid + सक्रिय निर्देशिका गट फिल्टरिंगसह सिंगल साइन-ऑन (SSO)

संक्षिप्त पार्श्वभूमी

कंपनीला प्रॉक्सी सर्व्हर लागू करणे आवश्यक आहे ज्यात AD मधील गटांद्वारे साइटवर प्रवेश फिल्टर करण्याची क्षमता (https सह) जेणेकरून वापरकर्ते कोणतेही अतिरिक्त संकेतशब्द प्रविष्ट करू शकत नाहीत आणि वेब इंटरफेसवरून प्रशासित केले जाऊ शकतात. चांगला अनुप्रयोग, नाही का?

केरियो कंट्रोल किंवा युजरगेट सारखे उपाय विकत घेणे हे योग्य उत्तर असेल, परंतु नेहमीप्रमाणे पैसे नाहीत, परंतु गरज आहे.

येथेच चांगला जुना स्क्विड बचावासाठी येतो, परंतु पुन्हा - मला वेब इंटरफेस कोठे मिळेल? SAMS2? नैतिकदृष्ट्या अप्रचलित. येथेच pfSense बचावासाठी येतो.

वर्णन

हा लेख स्क्विड प्रॉक्सी सर्व्हर कसा कॉन्फिगर करायचा याचे वर्णन करेल.
Kerberos वापरकर्त्यांना अधिकृत करण्यासाठी वापरले जाईल.
SquidGuard चा वापर डोमेन गटांनुसार फिल्टर करण्यासाठी केला जाईल.

Lightsquid, sqstat आणि अंतर्गत pfSense मॉनिटरिंग सिस्टिमचा वापर मॉनिटरिंगसाठी केला जाईल.
हे सिंगल साइन-ऑन (SSO) तंत्रज्ञानाच्या परिचयाशी संबंधित एक सामान्य समस्या देखील सोडवेल, म्हणजे अनुप्रयोग जे त्यांच्या सिस्टम खात्यासह कंपास खात्याखाली इंटरनेट सर्फ करण्याचा प्रयत्न करतात.

स्क्विड स्थापित करण्याची तयारी करत आहे

pfSense आधार म्हणून घेतला जाईल, स्थापना सूचना.

ज्यामध्ये आम्ही डोमेन खाती वापरून फायरवॉलवरच प्रमाणीकरण आयोजित करतो. सूचना

फार महत्वाचे!

तुम्ही Squid इंस्टॉल करणे सुरू करण्यापूर्वी, तुम्हाला DNS सर्व्हर pfsense मध्ये कॉन्फिगर करणे आवश्यक आहे, आमच्या DNS सर्व्हरवर त्यासाठी A रेकॉर्ड आणि PTR रेकॉर्ड तयार करणे आणि NTP कॉन्फिगर करणे आवश्यक आहे जेणेकरून वेळ डोमेन कंट्रोलरवरील वेळेपेक्षा भिन्न नसेल.

आणि तुमच्या नेटवर्कवर, इंटरनेटवर जाण्यासाठी pfSense च्या WAN इंटरफेससाठी आणि स्थानिक नेटवर्कवरील वापरकर्त्यांना 7445 आणि 3128 पोर्ट्ससह (माझ्या बाबतीत 8080) LAN इंटरफेसशी कनेक्ट करण्याची क्षमता प्रदान करा.

सर्व तयार आहे? pfSense वर अधिकृततेसाठी डोमेनसह LDAP कनेक्शन स्थापित केले आहे आणि वेळ समक्रमित आहे? मस्त. मुख्य प्रक्रिया सुरू करण्याची वेळ आली आहे.

स्थापना आणि पूर्व-कॉन्फिगरेशन

Squid, SquidGuard आणि LightSquid "सिस्टम/पॅकेज मॅनेजर" विभागातील pfSense पॅकेज मॅनेजरमधून स्थापित केले जातील.

यशस्वी इंस्टॉलेशननंतर, "सर्व्हिसेस / स्क्विड प्रॉक्सी सर्व्हर /" वर जा आणि सर्व प्रथम, स्थानिक कॅशे टॅबमध्ये, कॅशिंग कॉन्फिगर करा, मी सर्वकाही 0 वर सेट केले आहे, कारण मला कॅशिंग साइट्समध्ये जास्त फायदा दिसत नाही, ब्राउझर यासह चांगले काम करतात. सेटिंग केल्यानंतर, स्क्रीनच्या तळाशी असलेले "सेव्ह" बटण दाबा आणि यामुळे आम्हाला मूलभूत प्रॉक्सी सेटिंग्ज करण्याची संधी मिळेल.

मुख्य सेटिंग्ज खालीलप्रमाणे आहेत:

डीफॉल्ट पोर्ट 3128 आहे, परंतु मी 8080 वापरण्यास प्राधान्य देतो.

प्रॉक्सी इंटरफेस टॅबमधील निवडक पॅरामीटर्स आमचा प्रॉक्सी सर्व्हर कोणत्या इंटरफेसवर ऐकेल हे निर्धारित करतात. ही फायरवॉल अशा प्रकारे बनवली आहे की ती इंटरनेटवर WAN इंटरफेस म्हणून दिसते, जरी LAN आणि WAN एकाच स्थानिक सबनेटवर असू शकतात, मी प्रॉक्सीसाठी LAN वापरण्याची शिफारस करतो.

sqstat कार्य करण्यासाठी लूपबॅक आवश्यक आहे.

खाली तुम्हाला पारदर्शक (पारदर्शक) प्रॉक्सी सेटिंग्ज, तसेच SSL फिल्टर आढळतील, परंतु आम्हाला त्यांची आवश्यकता नाही, आमची प्रॉक्सी पारदर्शक असणार नाही आणि https फिल्टरिंगसाठी आम्ही प्रमाणपत्र बदलणार नाही (आमच्याकडे दस्तऐवज प्रवाह, बँक आहे. क्लायंट इ.), चला फक्त हँडशेक पाहू.

या टप्प्यावर, आम्हाला आमच्या डोमेन कंट्रोलरवर जाण्याची आवश्यकता आहे, त्यात एक प्रमाणीकरण खाते तयार करा (आपण स्वतः pfSense वर प्रमाणीकरणासाठी कॉन्फिगर केलेले खाते देखील वापरू शकता). येथे एक अतिशय महत्त्वाचा घटक आहे - जर तुमचा AES128 किंवा AES256 एन्क्रिप्शन वापरायचा असेल तर - तुमच्या खाते सेटिंग्जमधील योग्य बॉक्स तपासा.

जर तुमचे डोमेन मोठ्या संख्येने डिरेक्टरी असलेले एक अतिशय गुंतागुंतीचे जंगल असेल किंवा तुमचे डोमेन .local असेल, तर हे शक्य आहे, परंतु निश्चित नाही, की तुम्हाला या खात्यासाठी एक साधा पासवर्ड वापरावा लागेल, बग माहित आहे, परंतु ते जटिल पासवर्डसह कार्य करू शकत नाही, आपल्याला विशिष्ट विशिष्ट केस तपासण्याची आवश्यकता आहे.

त्यानंतर, आम्ही कर्बेरॉससाठी एक की फाइल तयार करतो, डोमेन कंट्रोलरवर प्रशासक अधिकारांसह कमांड प्रॉम्प्ट उघडतो आणि प्रविष्ट करतो:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

जेथे आम्ही आमचे FQDN pfSense सूचित करतो, केसचा आदर करण्याचे सुनिश्चित करा, मॅप्युझर पॅरामीटरमध्ये आमचे डोमेन खाते आणि त्याचा पासवर्ड प्रविष्ट करा आणि क्रिप्टोमध्ये आम्ही एन्क्रिप्शन पद्धत निवडतो, मी कामासाठी rc4 वापरतो आणि -आउट फील्डमध्ये आम्ही निवडतो जेथे आम्ही आमची तयार की फाइल पाठवेल.
की फाइल यशस्वीरित्या तयार केल्यानंतर, आम्ही ती आमच्या pfSense वर पाठवू, मी यासाठी फार वापरला आहे, परंतु तुम्ही हे कमांड आणि पुटीसह किंवा "डायग्नोस्टिक कमांड लाइन" विभागातील pfSense वेब इंटरफेसद्वारे देखील करू शकता.

आता आपण संपादन/तयार करू शकतो /etc/krb5.conf

जिथे /etc/krb5.keytab ही की फाइल आम्ही तयार केली आहे.

किनिट वापरून कर्बेरॉसचे ऑपरेशन तपासण्याचे सुनिश्चित करा, जर ते कार्य करत नसेल तर पुढे वाचण्यात काही अर्थ नाही.

प्रमाणीकरणाशिवाय स्क्विड प्रमाणीकरण आणि प्रवेश सूची कॉन्फिगर करणे

कर्बेरोस यशस्वीरित्या कॉन्फिगर केल्यावर, आम्ही ते आमच्या स्क्विडमध्ये जोडू.

हे करण्यासाठी, ServicesSquid Proxy Server वर जा आणि मुख्य सेटिंग्जमध्ये अगदी तळाशी जा, तेथे आम्हाला "प्रगत सेटिंग्ज" बटण सापडेल.

सानुकूल पर्याय (ऑथपूर्वी) फील्डमध्ये, प्रविष्ट करा:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

कुठे auth_param निगोशिएट प्रोग्राम /usr/local/libexec/squid/negotiate_kerberos_auth - आम्हाला आवश्यक असलेले प्रमाणीकरण कर्बेरॉस हेल्पर निवडते.

की -s अर्थासह GSS_C_NO_NAME — की फाइलमधील कोणत्याही खात्याचा वापर परिभाषित करते.

की -k अर्थासह /usr/local/etc/squid/squid.keytab - ही विशिष्ट कीटॅब फाइल वापरण्याचे ठरवते. माझ्या बाबतीत, ही तीच कीटॅब फाईल आहे जी आम्ही तयार केली आहे, जी मी /usr/local/etc/squid/ डिरेक्टरीमध्ये कॉपी केली आहे आणि तिचे नाव बदलले आहे, कारण स्क्विडला त्या डिरेक्टरीशी मैत्री करायची नव्हती, वरवर पाहता तेथे नव्हते. पुरेसे अधिकार.

की -t अर्थासह - नाही - डोमेन कंट्रोलरला चक्रीय विनंत्या अक्षम करते, जे तुमच्याकडे 50 पेक्षा जास्त वापरकर्ते असल्यास त्यावरील लोड मोठ्या प्रमाणात कमी करते.
चाचणीच्या कालावधीसाठी, तुम्ही -d की देखील जोडू शकता - म्हणजे निदान, अधिक लॉग प्रदर्शित केले जातील.
auth_param मुलांची 1000 वाटाघाटी करा - एकाचवेळी किती प्रमाणीकरण प्रक्रिया चालवल्या जाऊ शकतात हे निर्धारित करते
auth_param negotiate keep_alive on - अधिकृतता साखळीच्या मतदानादरम्यान कनेक्शन तोडण्याची परवानगी देत नाही
acl auth proxy_auth आवश्यक आहे - अधिकृतता उत्तीर्ण केलेल्या वापरकर्त्यांचा समावेश असलेली प्रवेश नियंत्रण सूची तयार करते आणि आवश्यक असते
acl nonauth dstdomain "/etc/squid/nonauth.txt" - आम्ही squid ला nonauth ऍक्सेस लिस्टबद्दल कळवतो, ज्यामध्ये डेस्टिनेशन डोमेन असतात, ज्यामध्ये प्रत्येकाला नेहमीच प्रवेश दिला जाईल. आम्ही फाइल स्वतः तयार करतो आणि त्यामध्ये आम्ही फॉरमॅटमध्ये डोमेन प्रविष्ट करतो

.whatsapp.com
.whatsapp.net

Whatsapp हे उदाहरण म्हणून वापरलेले व्यर्थ नाही - प्रमाणीकरणासह प्रॉक्सीबद्दल ते खूप निवडक आहे आणि प्रमाणीकरणापूर्वी परवानगी नसल्यास ते कार्य करणार नाही.
http_access अनुमती nonauth - प्रत्येकाला या सूचीमध्ये प्रवेश करण्याची परवानगी द्या
http_access deny !auth - आम्ही अनधिकृत वापरकर्त्यांना इतर साइटवर प्रवेश प्रतिबंधित करतो
http_access अनुमती द्या - अधिकृत वापरकर्त्यांना प्रवेश करण्याची परवानगी द्या.
तेच, स्क्विड स्वतः कॉन्फिगर केले आहे, आता गटांद्वारे फिल्टरिंग सुरू करण्याची वेळ आली आहे.

SquidGuard कॉन्फिगर करत आहे

ServicesSquidGuard Proxy Filter वर जा.

LDAP पर्यायांमध्ये आम्ही आमच्या खात्याचा डेटा kerberos प्रमाणीकरणासाठी एंटर करतो, परंतु खालील फॉरमॅटमध्ये:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

जर तेथे मोकळी जागा किंवा लॅटिन नसलेली अक्षरे असतील, तर ही संपूर्ण एंट्री सिंगल किंवा डबल कोट्समध्ये बंद करावी:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

पुढे, हे बॉक्स तपासण्याचे सुनिश्चित करा:

अनावश्यक DOMAINpfsense कापण्यासाठी DOMAIN.लोकल ज्यासाठी संपूर्ण यंत्रणा अतिशय संवेदनशील आहे.

आता आपण ग्रुप Acl वर जातो आणि आमच्या डोमेन ऍक्सेस गटांना बांधतो, मी 0 पर्यंत group_1, group_3, इत्यादी साधी नावे वापरतो, जिथे 3 ला फक्त व्हाईट लिस्टमध्ये प्रवेश आहे आणि 0 - सर्वकाही शक्य आहे.

गट खालीलप्रमाणे जोडलेले आहेत:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

आमचा ग्रुप सेव्ह करा, टाईम्स वर जा, तिथे मी नेहमी काम करण्यासाठी एक अंतर निर्माण करतो, आता टार्गेट कॅटेगरीवर जा आणि आमच्या विवेकबुद्धीनुसार याद्या तयार करा, याद्या तयार केल्यावर आम्ही आमच्या गटांकडे परत जातो आणि गटाच्या आत आम्ही कोण जाऊ शकते हे बटणांसह निवडतो. कुठे, आणि कोण कुठे करू शकत नाही.

LightSquid आणि sqstat

जर कॉन्फिगरेशन प्रक्रियेदरम्यान आम्ही स्क्विड सेटिंग्जमध्ये लूपबॅक निवडला आणि आमच्या नेटवर्कवर आणि pfSense वर फायरवॉलमध्ये 7445 मध्ये प्रवेश करण्याची क्षमता उघडली, तर स्क्विड प्रॉक्सी रिपोर्ट डायग्नोस्टिक्सवर जाताना, आम्ही sqstat आणि Lighsquid दोन्ही सहजपणे उघडू शकतो, नंतरच्यासाठी आम्हाला त्याच ठिकाणी आवश्यक असेल, वापरकर्तानाव आणि पासवर्डसह या आणि डिझाइन निवडण्याची संधी देखील आहे.

पूर्ण करणे

pfSense हे एक अतिशय शक्तिशाली साधन आहे जे बर्‍याच गोष्टी करू शकते - ट्रॅफिक प्रॉक्सी आणि इंटरनेटवर वापरकर्त्याच्या प्रवेशावर नियंत्रण दोन्ही संपूर्ण कार्यक्षमतेचा एक अंश आहे, तरीही, 500 मशीन्स असलेल्या एंटरप्राइझमध्ये, यामुळे समस्येचे निराकरण झाले आणि जतन केले गेले. प्रॉक्सी खरेदी करणे.

मला आशा आहे की हा लेख एखाद्या समस्येचे निराकरण करण्यात मदत करेल जी मध्यम आणि मोठ्या उद्योगांसाठी अगदी संबंधित आहे.

स्त्रोत: www.habr.com

डोमेन अधिकृततेसह एंटरप्राइझसाठी विनामूल्य प्रॉक्सी सर्व्हर