د ډومین واک سره د شرکت لپاره وړیا پراکسي سرور

pfSense + Squid د https فلټر کولو سره + واحد لاسلیک (SSO) د فعال لارښود ګروپ فلټر کولو سره

لنډ پس منظر

شرکت ته اړتیا وه چې یو پراکسي سرور پلي کړي چې د AD څخه ډلو لخوا سایټونو (د https په شمول) ته د لاسرسي فلټر کولو وړتیا لري ترڅو کارونکي نور اضافي پاسورډونه ونه ننوځي ، او د ویب انٹرفیس څخه اداره کیدی شي. ښه غوښتنلیک، دا نه دی؟

سم ځواب به دا وي چې د حلونو پیرود لکه کیریو کنټرول یا یوزر ګیټ، مګر د تل په څیر پیسې شتون نلري، مګر اړتیا شتون لري.

دا هغه ځای دی چیرې چې ښه زوړ اسکویډ ژغورنې ته راځي ، مګر بیا - زه چیرې کولی شم ویب انٹرفیس ترلاسه کړم؟ SAMS2؟ له اخلاقي پلوه متروک. دا هغه ځای دی چې pfSense ژغورنې ته راځي.

شرح

دا مقاله به تشریح کړي چې څنګه د Squid پراکسي سرور تنظیم کړئ.
Kerberos به د کاروونکو اجازه ورکولو لپاره وکارول شي.
SquidGuard به د ډومین ګروپونو لخوا فلټر کولو لپاره وکارول شي.

Lightsquid، sqstat او داخلي pfSense نظارت سیسټمونه به د څارنې لپاره وکارول شي.
دا به یوه عامه ستونزه هم حل کړي چې د واحد لاسلیک (SSO) ټیکنالوژۍ معرفي کولو سره تړاو لري ، د بیلګې په توګه هغه غوښتنلیکونه چې د خپل سیسټم حساب سره د کمپاس حساب لاندې انټرنیټ سرف کولو هڅه کوي.

د Squid نصبولو لپاره چمتو کول

pfSense به د اساس په توګه ونیول شي، د نصبولو لارښوونې.

دننه چې موږ پخپله د ډومین حسابونو په کارولو سره په فایر وال کې تصدیق تنظیم کوو. لارښوونې.

ډیر مهم!

مخکې لدې چې تاسو د Squid نصب کول پیل کړئ ، تاسو اړتیا لرئ د DNS سرور په pfsense کې تنظیم کړئ ، زموږ په DNS سرور کې د دې لپاره A ریکارډ او د PTR ریکارډ جوړ کړئ ، او NTP تنظیم کړئ ترڅو وخت د ډومین کنټرولر له وخت څخه توپیر ونلري.

او ستاسو په شبکه کې ، د pfSense د WAN انٹرفیس لپاره وړتیا چمتو کړئ چې انټرنیټ ته لاړ شي ، او په محلي شبکه کې کارونکي د LAN انٹرفیس سره وصل شي ، پشمول په 7445 او 3128 بندرونو کې (زما په قضیه کې 8080).

ټول چمتو دي؟ ایا د LDAP پیوستون په pfSense کې د واک ورکولو لپاره د ډومین سره رامینځته شوی او وخت همغږي شوی؟ غوره. دا د اصلي پروسې پیل کولو وخت دی.

نصب او مخکې ترتیب

Squid، SquidGuard او LightSquid به د "سیسټم / بسته مدیر" برخه کې د pfSense بسته مدیر څخه نصب شي.

د بریالي نصب کولو وروسته، "خدمات / سکویډ پراکسي سرور /" ته لاړ شئ او لومړی، د محلي کیچ ټب کې، کیچ ترتیب کړئ، ما هرڅه 0 ته تنظیم کړل، ځکه چې زه د کیچ کولو سایټونو کې ډیر ټکي نه ګورم ، براوزر د دې سره عالي دنده ترسره کوي. د تنظیم کولو وروسته، د سکرین په ښکته کې د "Save" تڼۍ فشار کړئ او دا به موږ ته د لومړني پراکسي ترتیباتو جوړولو فرصت راکوي.

اصلي ترتیبات په لاندې ډول دي:

ډیفالټ پورټ 3128 دی، مګر زه د 8080 کارولو ته ترجیح ورکوم.

د پراکسي انټرفیس ټب کې ټاکل شوي پیرامیټونه دا ټاکي چې زموږ پراکسي سرور به کوم انٹرفیس اوري. څرنګه چې دا فایروال په داسې ډول جوړ شوی چې دا په انټرنیټ کې د WAN انٹرفیس په توګه ښکاري، که څه هم LAN او WAN کولی شي په ورته محلي سبنټ کې وي، زه د پراکسي لپاره د LAN کارولو وړاندیز کوم.

د sqstat کار کولو لپاره لوپ بیک ته اړتیا ده.

لاندې به تاسو د شفاف (شفاف) پراکسي تنظیمات او همدارنګه د SSL فلټر ومومئ، مګر موږ ورته اړتیا نلرو، زموږ پراکسي به شفاف نه وي، او د https فلټر کولو لپاره به موږ سند بدل نه کړو (موږ د سند جریان لرو، بانک مراجعین، او نور)، راځئ چې یوازې لاسونه وګورو.

پدې مرحله کې ، موږ اړتیا لرو زموږ د ډومین کنټرولر ته لاړ شو ، په دې کې د تصدیق حساب رامینځته کړئ (تاسو کولی شئ هغه هم وکاروئ چې پخپله pfSense کې د تصدیق لپاره تنظیم شوی و). دلته یو خورا مهم فکتور دی - که تاسو د AES128 یا AES256 کوډ کولو اراده لرئ - د خپل حساب په ترتیباتو کې مناسب بکسونه چیک کړئ.

که ستاسو ډومین خورا پیچلي ځنګل وي چې ډیری لارښودونه لري یا ستاسو ډومین .local وي، نو دا ممکنه ده، مګر ډاډه نه ده چې تاسو به د دې حساب لپاره ساده پاسورډ وکاروئ، بګ معلوم دی، مګر دا ممکن په ساده ډول د پیچلي پاسورډ سره کار ونکړي ، تاسو اړتیا لرئ یو ځانګړي ځانګړي قضیه وګورئ.

له هغې وروسته ، موږ د کربروس لپاره کلیدي فایل رامینځته کوو ، د ډومین کنټرولر کې د مدیر حقونو سره د کمانډ پرامپټ خلاص کړئ او داخل کړئ:

# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab

چیرته چې موږ خپل FQDN pfSense په ګوته کوو، ډاډ ترلاسه کړئ چې قضیې ته درناوی وکړئ، زموږ د ډومین حساب او د هغه پاسورډ په نقشه کونکي پیرامیټر کې دننه کړئ، او په کریپټو کې موږ د کوډ کولو طریقه غوره کوو، ما د کار لپاره rc4 کارولی او په بهر ساحه کې موږ انتخاب کوو چیرې چې موږ زموږ بشپړ شوی کیلي فایل به واستوي.
د کلیدي فایل په بریالیتوب سره رامینځته کولو وروسته ، موږ به دا زموږ pfSense ته واستوو ، ما د دې لپاره Far کارولی ، مګر تاسو دا دواړه د کمانډونو او پوټي سره یا د "تشخیص کمانډ لاین" برخه کې د pfSense ویب انٹرفیس له لارې هم کولی شئ.

اوس موږ کولی شو ترمیم/جوړ کړو /etc/krb5.conf

چیرته چې /etc/krb5.keytab هغه کلیدي فایل دی چې موږ جوړ کړی.

ډاډه اوسئ چې د کینټ په کارولو سره د کربروس عملیات چیک کړئ ، که دا کار ونکړي ، د نور لوستلو هیڅ معنی نلري.

د تصدیق پرته د سکویډ تصدیق او لاسرسي لیست تنظیم کول

د کربروس په بریالیتوب سره تنظیم کولو سره، موږ به دا زموږ سکویډ ته ګړندی کړو.

د دې کولو لپاره، د ServicesSquid پراکسي سرور ته لاړ شئ او په اصلي ترتیباتو کې خورا ښکته ته لاړ شئ، هلته به موږ د "پرمختللي ترتیبات" تڼۍ ومومئ.

د ګمرکي اختیارونو (د تصدیق څخه دمخه) ساحه کې دننه کړئ:

#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
#Разрешения 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

چیرته auth_param د خبرو اترو برنامه /usr/local/libexec/squid/negotiate_kerberos_auth - د تصدیق کولو کربروس مرستندویه غوره کوي چې موږ ورته اړتیا لرو.

کیلي -s د معنی سره GSS_C_NO_NAME - د کلیدي فایل څخه د هر حساب کارول تعریفوي.

کیلي -k د معنی سره /usr/local/etc/squid/squid.keytab - د دې ځانګړي کیټاب فایل کارولو لپاره پریکړه کوي. زما په قضیه کې ، دا د ورته کیټاب فایل دی چې موږ رامینځته کړی ، کوم چې ما د /usr/local/etc/squid/ ډایرکټر ته کاپي کړی او نوم یې بدل کړی ، ځکه چې squid نه غوښتل د دې لارښود سره ملګري شي ، ظاهرا شتون نلري. کافي حقوق.

کیلي -t د معنی سره - هیڅ نه - د ډومین کنټرولر ته سایکلیک غوښتنې غیر فعالوي، کوم چې په دې باندې بار خورا کموي که تاسو له 50 څخه ډیر کاروونکي لرئ.
د ازموینې د مودې لپاره، تاسو کولی شئ د -d کلید هم اضافه کړئ - د بیلګې په توګه تشخیص، نور لاګونه به ښکاره شي.
auth_param خبرې اترې ماشومان 1000 - دا ټاکي چې څومره په یو وخت کې د واک ورکولو پروسې پرمخ وړل کیدی شي
auth_param negotiate keep_alive on - اجازه نه ورکوي چې د واک ورکولو سلسلې د رایې ورکولو پرمهال پیوستون مات کړي
acl auth proxy_auth ته اړتیا ده - د لاسرسي کنټرول لیست رامینځته کوي او اړتیا لري چې پکې هغه کارونکي شامل وي چې اجازه یې اخیستې وي
acl nonauth dstdomain "/etc/squid/nonauth.txt" - موږ سکویډ ته د نانوټ لاسرسي لیست په اړه خبر ورکوو، کوم چې د منزل ډومینونه لري، چې هرڅوک به تل د لاسرسي اجازه ولري. موږ پخپله فایل جوړوو، او دننه موږ په بڼه کې ډومین داخلوو

.whatsapp.com
.whatsapp.net

واټس اپ د مثال په توګه بې ځایه نه کارول کیږي - دا د تصدیق سره د پراکسي په اړه خورا غوره دی او دا به کار ونکړي که چیرې د تصدیق دمخه اجازه ورنکړل شي.
http_access اجازه ورکوي nonauth - ټولو ته دې لیست ته د لاسرسي اجازه ورکړئ
http_access انکار!auth - موږ نورو سایټونو ته د غیر مجاز کاروونکو لاسرسی منع کوو
http_access اجازه auth - مجاز کاروونکو ته د لاسرسي اجازه ورکړئ.
دا دی، سکویډ پخپله ترتیب شوی، اوس دا وخت دی چې د ډلو لخوا فلټر کول پیل کړئ.

د SquidGuard ترتیب کول

ServicesSquidGuard پراکسي فلټر ته لاړ شئ.

په LDAP اختیارونو کې موږ د خپل حساب ډاټا داخلوو چې د کربروس تصدیق لپاره کارول کیږي، مګر په لاندې بڼه کې:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

که چیرې ځایونه یا غیر لاتیني حروف شتون ولري، دا ټول داخله باید په واحد یا دوه اړخیزو ټکو کې تړل شي:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

بیا، ډاډ ترلاسه کړئ چې دا بکسونه چیک کړئ:

د غیر ضروري DOMAINpfsense قطع کولو لپاره DOMAINLOCAL کوم چې ټول سیسټم خورا حساس دی.

اوس موږ ګروپ Acl ته ځو او زموږ د ډومین لاسرسي ګروپونو ته پابند یو، زه ساده نومونه کاروم لکه ګروپ_0، ګروپ_1، او نور تر 3 پورې، چیرته چې 3 یوازې سپینې لیست ته لاسرسی لري، او 0 - هرڅه ممکن دي.

ګروپونه په لاندې ډول تړل شوي دي:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

زموږ ګروپ خوندي کړئ، ټایمز ته لاړ شئ، هلته ما یو تشه پیدا کړه چې تل کار وکړي، اوس د هدف کټګوریو ته لاړ شئ او په خپل اختیار کې لیستونه جوړ کړئ، د لیستونو له جوړولو وروسته موږ بیرته خپلو ګروپونو ته راستون شو او په ګروپ کې دننه د بټونو سره موږ غوره کوو چې څوک لاړ شي. چیرته، او څوک چیرته نشي کولی.

LightSquid او sqstat

که د ترتیب کولو پروسې په جریان کې موږ د اسکویډ تنظیماتو کې لوپ بیک غوره کړو او پخپله زموږ په شبکه او پخپله pfSense کې په فایر وال کې 7445 ته د لاسرسي وړتیا خلاص کړو ، نو کله چې موږ د Squid پراکسي راپورونو تشخیص ته لاړ شو ، موږ کولی شو په اسانۍ سره دواړه خلاص کړو. Lighsquid، د وروستي لپاره موږ به ورته اړتیا ولرو، د کارن نوم او پټنوم سره راشئ، او د ډیزاین غوره کولو فرصت هم شتون لري.

بشپړ کول

pfSense یوه خورا پیاوړې وسیله ده چې کولی شي ډیری شیان ترسره کړي - انټرنیټ ته د کارونکي لاسرسي باندې د ترافیک پراکسي کول او کنټرول دواړه د ټول فعالیت یوازې یوه برخه ده ، په هرصورت ، په 500 ماشینونو سره په تصدۍ کې ، دا ستونزه حل کړه او خوندي شوه. پراکسي اخیستل.

زه امید لرم چې دا مقاله به د یو چا سره د یوې ستونزې حل کولو کې مرسته وکړي چې د متوسط ​​​​او لویو شرکتونو لپاره خورا اړونده وي.

سرچینه: www.habr.com