डोमेन प्राधिकरण संग उद्यम को लागी नि: शुल्क प्रोक्सी सर्भर

pfSense+Squid https फिल्टरिङको साथ + एकल साइन-अन टेक्नोलोजी (SSO) सक्रिय डाइरेक्टरी समूहहरूद्वारा फिल्टरिङको साथ

संक्षिप्त पृष्ठभूमि

AD बाट समूहहरूद्वारा साइटहरूमा पहुँच (https सहित) फिल्टर गर्ने क्षमता भएको प्रोक्सी सर्भर लागू गर्न उद्यमलाई आवश्यक छ, ताकि प्रयोगकर्ताहरूले कुनै पनि अतिरिक्त पासवर्डहरू प्रविष्ट नगरेन्, र प्रशासन वेब इन्टरफेसबाट गर्न सकियोस्। नराम्रो अनुप्रयोग होइन, हैन?

सही जवाफ केरियो कन्ट्रोल वा UserGate जस्ता समाधानहरू खरिद गर्नु हो, तर सधैं जस्तै त्यहाँ पैसा छैन, तर त्यहाँ आवश्यकता छ।

यो जहाँ राम्रो पुरानो स्क्विड हाम्रो उद्धारमा आउँछ, तर फेरि, म वेब इन्टरफेस कहाँ पाउन सक्छु? SAMS2? नैतिक रूपमा पुरानो। यो जहाँ pfSense उद्धार गर्न आउँछ।

विवरण

यस लेखले स्क्विड प्रोक्सी सर्भर कसरी कन्फिगर गर्ने भनेर वर्णन गर्नेछ।
Kerberos प्रयोगकर्ताहरूलाई अधिकृत गर्न प्रयोग गरिनेछ।
SquidGuard डोमेन समूहहरू द्वारा फिल्टर गर्न प्रयोग गरिनेछ।

Lightsquid, sqstat र आन्तरिक pfSense अनुगमन प्रणाली अनुगमनको लागि प्रयोग गरिनेछ।
एकल साइन-अन (SSO) प्रविधिको कार्यान्वयनसँग सम्बन्धित एउटा साझा समस्या पनि हल गरिनेछ, अर्थात् तिनीहरूको प्रणाली खाताको कम्पास खाता अन्तर्गत इन्टरनेट पहुँच गर्न प्रयास गर्ने अनुप्रयोगहरू।

Squid स्थापना गर्न तयारी गर्दै

pfSense आधारको रूपमा प्रयोग गरिनेछ, स्थापना निर्देशनहरू।

जसको भित्र हामी डोमेन खाताहरू प्रयोग गरेर फायरवालमा प्रमाणीकरणलाई व्यवस्थित गर्छौं। निर्देशनहरू।

धेरै महत्वपूर्ण!

तपाईंले Squid स्थापना गर्न सुरु गर्नु अघि, तपाईंले DNS सर्भर pfsense मा कन्फिगर गर्न आवश्यक छ, हाम्रो DNS सर्भरमा यसको लागि A रेकर्ड र PTR रेकर्ड बनाउनुहोस् र NTP कन्फिगर गर्नुहोस् ताकि समय डोमेन नियन्त्रकको समय भन्दा फरक नहोस्।

र तपाईंको नेटवर्कमा, इन्टरनेट पहुँच गर्न pfSense WAN इन्टरफेसको लागि क्षमता प्रदान गर्नुहोस्, र पोर्ट 7445 र 3128 (मेरो केसमा, 8080) मार्फत ल्यान इन्टरफेसमा जडान गर्न स्थानीय नेटवर्कमा प्रयोगकर्ताहरूका लागि।

सबै तयार छ? के डोमेन pfSense मा प्राधिकरणको लागि LDAP मार्फत जोडिएको छ र समय सिंक्रोनाइज गरिएको छ? महान। यो मुख्य प्रक्रिया सुरु गर्ने समय हो।

स्थापना र पूर्व कन्फिगरेसन

हामी "प्रणाली/प्याकेज प्रबन्धक" खण्डमा pfSense प्याकेज प्रबन्धकबाट Squid, SquidGuard र LightSquid स्थापना गर्नेछौं।

सफल स्थापना पछि, "सेवाहरू/स्क्विड प्रोक्सी सर्भर/" मा जानुहोस् र सबै भन्दा पहिले, स्थानीय क्यास ट्याबमा, क्यासिङ सेट अप गर्नुहोस्, मैले सबै कुरालाई ० मा सेट गरें, किनभने म क्यासिङ साइटहरूमा धेरै बिन्दु देख्दिन; ब्राउजरहरूले यसलाई राम्रोसँग ह्यान्डल गर्छन्। सेट गरिसकेपछि, स्क्रिनको तल रहेको "बचत गर्नुहोस्" बटन थिच्नुहोस् र यसले हामीलाई आधारभूत प्रोक्सी सेटिङहरू बनाउने अवसर दिनेछ।

मुख्य सेटिङहरू निम्नानुसार छन्:

पूर्वनिर्धारित पोर्ट 3128 हो, तर म 8080 प्रयोग गर्न रुचाउँछु।

प्रोक्सी इन्टरफेस ट्याबमा चयन गरिएका प्यारामिटरहरूले हाम्रो प्रोक्सी सर्भरले कुन इन्टरफेसहरू सुन्नेछ भनेर निर्धारण गर्दछ। यो फायरवाल यसरी बनाइएको छ कि यसले WAN इन्टरफेस मार्फत इन्टरनेटमा हेर्छ, यद्यपि LAN र WAN एउटै स्थानीय सबनेटमा हुन सक्छ, म प्रोक्सीको लागि LAN प्रयोग गर्न सिफारिस गर्दछु।

sqstat काम गर्नको लागि लूपब्याक आवश्यक छ।

तल तपाईंले पारदर्शी प्रोक्सी सेटिङहरू, साथै SSL फिल्टर फेला पार्नुहुनेछ, तर हामीलाई तिनीहरूको आवश्यकता पर्दैन, हाम्रो प्रोक्सी पारदर्शी हुनेछैन, र https फिल्टरिङका लागि हामी प्रमाणपत्र प्रतिस्थापनसँग सम्झौता गर्दैनौं (केही पछि, हामीसँग कागजात व्यवस्थापन छ। , बैंक क्लाइन्टहरू, इत्यादि), हात मिलाएर हेरौं।

यस चरणमा, हामीले हाम्रो डोमेन नियन्त्रकमा जानु पर्छ, प्रमाणीकरणको लागि यसमा खाता सिर्जना गर्नुहोस् (तपाईले pfSense मा प्रमाणीकरणको लागि कन्फिगर गरेको प्रयोग पनि गर्न सक्नुहुन्छ)। यहाँ एउटा धेरै महत्त्वपूर्ण कारक यो हो कि यदि तपाइँ AES128 वा AES256 इन्क्रिप्सन प्रयोग गर्न चाहनुहुन्छ भने, तपाइँको खाता सेटिङहरूमा उपयुक्त बाकसहरू जाँच गर्नुहोस्।

यदि तपाईंको डोमेन धेरै डाइरेक्टरीहरू भएको धेरै जटिल वन हो वा तपाईंको डोमेन .local हो, तब सम्भवतः, तर निश्चित रूपमा होइन, तपाईंले यस खाताको लागि साधारण पासवर्ड प्रयोग गर्नुपर्नेछ, बग थाहा छ, तर जटिलसँग। पासवर्डले काम नगर्न सक्छ, तपाइँलाई एक विशेष व्यक्तिगत मामला मा जाँच गर्न आवश्यक छ।

यो सबै पछि, हामी डोमेन नियन्त्रक मा, Kerberos को लागि एक कुञ्जी फाइल सिर्जना, प्रशासक अधिकार संग एक आदेश प्रम्प्ट खोल्नुहोस् र प्रविष्ट गर्नुहोस्:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

जहाँ हामीले हाम्रो FQDN pfSense संकेत गर्छौं, केसलाई सम्मान गर्न निश्चित हुनुहोस्, म्याप्युजर प्यारामिटरमा हामीले हाम्रो डोमेन खाता र यसको पासवर्ड प्रविष्ट गर्छौं, र क्रिप्टोमा हामीले इन्क्रिप्शन विधि चयन गर्छौं, मैले कामको लागि rc4 प्रयोग गर्छौं र -आउट फिल्डमा हामीले जहाँ चयन गर्छौं। हामी हाम्रो तयार कुञ्जी फाइल पठाउनेछौं।
कुञ्जी फाइल सफलतापूर्वक सिर्जना गरेपछि, हामी यसलाई हाम्रो pfSense मा पठाउनेछौं, मैले यसका लागि फारर प्रयोग गरें, तर तपाइँ यसलाई "DiagnosticsCommand Line" सेक्सनमा आदेशहरू, पुट्टी वा pfSense वेब इन्टरफेस मार्फत पनि गर्न सक्नुहुन्छ।

अब हामी सिर्जना /etc/krb5.conf सम्पादन गर्न सक्छौं

जहाँ /etc/krb5.keytab हामीले सिर्जना गरेको कुञ्जी फाइल हो।

Kinit प्रयोग गरेर Kerberos को सञ्चालन जाँच गर्न निश्चित हुनुहोस्; यदि यसले काम गर्दैन भने, त्यहाँ पढ्नको लागि कुनै अर्थ छैन।

Squid प्रमाणीकरण र कुनै प्रमाणीकरण पहुँच सूची कन्फिगर गर्दै

Kerberos सफलतापूर्वक कन्फिगर गरिसकेपछि, हामी यसलाई हाम्रो Squid मा संलग्न गर्नेछौं।

यो गर्नका लागि, ServicesSquid Proxy Server मा जानुहोस् र मुख्य सेटिङहरूमा, धेरै तल जानुहोस्, त्यहाँ हामी "उन्नत सेटिङहरू" बटन फेला पार्नेछौं।

अनुकूलन विकल्पहरू (प्रमाणीकरण अघि) फिल्डमा, प्रविष्ट गर्नुहोस्:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

कहाँ auth_param वार्ता कार्यक्रम /usr/local/libexec/squid/negotiate_kerberos_auth — हामीलाई चाहिने Kerberos प्रमाणीकरण सहायक चयन गर्छ।

कुञ्जी -s अर्थ संग GSS_C_NO_NAME - कुञ्जी फाइलबाट कुनै पनि खाताको प्रयोग निर्धारण गर्दछ।

कुञ्जी -k अर्थ संग /usr/local/etc/squid/squid.keytab — यो विशेष किट्याब फाइल प्रयोग गर्न निर्धारण गर्दछ। मेरो केसमा, यो उही किट्याब फाइल हो जुन हामीले उत्पन्न गरेका थियौं, जुन मैले /usr/local/etc/squid/ डाइरेक्टरीमा प्रतिलिपि गरें र यसलाई पुन: नामाकरण गरें किनभने स्क्विड त्यो डाइरेक्टरीसँग साथी बन्न चाहँदैनथे, स्पष्ट रूपमा मसँग थिएन। पर्याप्त अधिकार।

कुञ्जी -t अर्थ संग - कुनै पनि छैन - डोमेन नियन्त्रकमा चक्रीय अनुरोधहरू असक्षम पार्छ, यदि तपाईंसँग 50 भन्दा बढी प्रयोगकर्ताहरू छन् भने यसले यसमा लोडलाई धेरै कम गर्छ।
परीक्षणको बखत, तपाईले -d स्विच पनि थप्न सक्नुहुन्छ - अर्थात् निदान, थप लगहरू प्रदर्शित हुनेछन्।
auth_param बच्चाहरु 1000 वार्ता - एकै साथ कति प्रमाणीकरण प्रक्रियाहरू सुरू गर्न सकिन्छ भनेर निर्धारण गर्दछ
auth_param वार्ता जारी राख्नुहोस् - प्राधिकरण श्रृंखला मतदान गर्दा जडान विच्छेद हुनबाट रोक्छ
acl auth proxy_auth आवश्यक छ - पहुँच नियन्त्रण सूची सिर्जना र आवश्यक छ जसमा अधिकृत प्रयोगकर्ताहरू समावेश छन्
acl nonauth dstdomain "/etc/squid/nonauth.txt" — हामी squid लाई nonauth पहुँच सूचीको बारेमा जानकारी गराउँछौं, जसमा गन्तव्य डोमेनहरू छन् जसमा सबैलाई सधैं पहुँचको अनुमति दिइनेछ। हामी फाइल आफै सिर्जना गर्छौं, र ढाँचामा भित्र डोमेनहरू प्रविष्ट गर्छौं

.whatsapp.com
.whatsapp.net

व्हाट्सएप एक कारण को लागी एक उदाहरण को रूप मा प्रयोग गरिन्छ - यो प्रमाणीकरण प्रोक्सी को बारे मा धेरै picky छ र यो प्रमाणीकरण अघि अनुमति छैन भने काम गर्दैन।
http_access noauth लाई अनुमति दिनुहोस् - सबैका लागि यो सूचीमा पहुँच अनुमति दिनुहोस्
http_access अस्वीकार !auth - हामी अनाधिकृत प्रयोगकर्ताहरूको लागि अन्य साइटहरूमा पहुँच निषेध गर्छौं
http_access अनुमति दिनुहोस् - अधिकृत प्रयोगकर्ताहरूलाई पहुँच अनुमति दिनुहोस्।
यो हो, स्क्विड आफैं कन्फिगर गरिएको छ, अब यो समूहहरू द्वारा फिल्टर गर्न सुरु गर्ने समय हो।

SquidGuard सेटअप गर्दै

ServicesSquidGuard Proxy Filter मा जानुहोस्।

LDAP विकल्पहरूमा हामी Kerberos प्रमाणीकरणको लागि प्रयोग गरिएको हाम्रो खाताको विवरणहरू प्रविष्ट गर्छौं, तर निम्न ढाँचामा:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

यदि त्यहाँ खाली ठाउँ वा गैर-ल्याटिन वर्णहरू छन् भने, यो सम्पूर्ण प्रविष्टि एकल वा दोहोरो उद्धरणहरूमा संलग्न हुनुपर्छ:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

अर्को, यी बाकसहरू जाँच गर्न निश्चित हुनुहोस्:

अनावश्यक DOMAINpfsense काट्न DOMAINLOCAL जसमा सम्पूर्ण प्रणाली धेरै संवेदनशील छ।

अब हामी समूह Acl मा जाऔं र हाम्रो डोमेन पहुँच समूहहरू बाइन्ड गरौं, म 0 सम्म group_1, group_3, आदि जस्ता साधारण नामहरू प्रयोग गर्छु, जहाँ 3 भनेको सेतो सूचीमा मात्र पहुँच हुन्छ, र 0 भनेको सबै सम्भव छ।

समूहहरू निम्न रूपमा लिङ्क गरिएको छ:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

हामी हाम्रो समूह बचत गर्छौं, टाइम्समा जान्छौं, त्यहाँ मैले एउटा ग्याप सिर्जना गर्छौं जसको मतलब यो सधैं काम गर्नेछ, अब हामी लक्ष्य कोटीहरूमा जान्छौं र हाम्रो विवेकमा सूचीहरू सिर्जना गर्छौं, सूचीहरू सिर्जना गरेपछि हामी हाम्रो समूहमा फर्कन्छौं र समूह भित्र हामी बटनहरू प्रयोग गर्छौं। को कहाँ जान सक्छ र को कहाँ जान सक्दैन भनेर चयन गर्न।

LightSquid र sqstat

यदि सेटअप प्रक्रियाको क्रममा हामीले स्क्विड सेटिङहरूमा लुपब्याक चयन गर्यौं र हाम्रो नेटवर्कमा र pfSense दुवैमा फायरवालमा 7445 पहुँच गर्ने क्षमता खोल्यौं, तब जब हामी DiagnosticsSquid Proxy Reports मा जान्छौं, हामी सजिलैसँग sqstat र Lighsquid दुबै खोल्न सक्छौं। पछि हामीलाई चाहिन्छ त्यहाँ तपाइँ लगइन र पासवर्डको साथ आउन सक्नुहुन्छ, र तपाइँ डिजाइन पनि छनौट गर्न सक्नुहुन्छ।

समाप्ति

pfSense एक धेरै शक्तिशाली उपकरण हो जसले धेरै चीजहरू गर्न सक्छ - प्रोक्सी ट्राफिक र इन्टरनेटमा प्रयोगकर्ता पहुँचलाई नियन्त्रण गर्ने सम्पूर्ण कार्यक्षमताको मात्र एक अन्न हो, यद्यपि, 500 मेसिनहरू भएको उद्यममा, यसले समस्या समाधान गर्यो र हामीलाई बचत गर्न अनुमति दियो। प्रोक्सी को खरिद मा।

मलाई आशा छ कि यो लेखले कसैलाई मध्यम र ठूला उद्यमहरूको लागि एकदम सान्दर्भिक समस्या समाधान गर्न मद्दत गर्नेछ।

स्रोत: www.habr.com