pfSense+Squid fa'atasi ai ma le fa'amamaina o le https + Tekonolosi fa'ailoga tasi (SSO) fa'atasi ai ma le fa'amamaina e vaega Active Directory
Talaʻaga puʻupuʻu
E manaʻomia e le atinaʻe le faʻatinoina o se sui sui ma le mafai ona faʻamama le avanoa i nofoaga (e aofia ai https) e vaega mai le AD, ina ia le faʻaogaina e tagata faʻaoga soʻo se faʻaupuga faʻaopoopo, ma mafai ona faia le pulega mai le upega tafaʻilagi. E le o se talosaga leaga, a ea?
O le tali saʻo o le faʻatau lea o fofo e pei o Kerio Control poʻo le UserGate, ae pei o taimi uma e leai se tupe, ae o loʻo i ai se manaʻoga.
O le mea lea e sau ai Squid lo'omatua lelei e lavea'i mai, ae toe fo'i, o fea ou te maua ai le 'upega tafa'ilagi? SAMS2? Ua le toe aoga. O le mea lea e sau ai le pfSense e laveai.
faʻamatalaga
O lenei tusiga o le a faʻamatalaina pe faʻafefea ona faʻapipiʻi se Squid proxy server.
Kerberos o le a faʻaaogaina e faʻatagaina ai tagata faʻaoga.
SquidGuard o le a faʻaaogaina e faʻamama e vaega vaega.
Lightsquid, sqstat ma totonu pfSense faiga mata'ituina o le a fa'aogaina mo le mata'ituina.
O se faʻafitauli masani e fesoʻotaʻi ma le faʻatinoina o le tasi faʻailoga (SSO) tekinolosi o le a foia foi, e taʻua o talosaga e taumafai e faʻaoga le Initaneti i lalo o le tapasa o latou tala faʻapipiʻi.
Sauni e fa'apipi'i Squid
pfSense o le a faʻaaogaina e fai ma faʻavae,
I totonu o lea matou te faʻatulagaina le faʻamaoniga i le pa puipui lava ia e faʻaaoga ai faʻamatalaga faʻapitoa.
E taua tele!
Ae e te leʻi amata faʻapipiʻi Squid, e tatau ona e faʻapipiʻi le DNS server i le pfsense, fai se faamaumauga A ma le PTR mo ia i luga o la matou DNS server ma faʻapipiʻi le NTP ina ia le ese le taimi mai le taimi i luga o le pule o le domain.
Ma i lau fesoʻotaʻiga, tuʻuina atu le gafatia mo le pfSense WAN interface e faʻaoga ai le Initaneti, ma mo tagata faʻaoga i luga o le upega tafaʻilagi e faʻafesoʻotaʻi i le LAN interface, e aofia ai le port 7445 ma 3128 (i loʻu tulaga, 8080).
Ua sauni mea uma? O feso'ota'i le vaega ile LDAP mo fa'atagaga ile pfSense ma o fa'amaopoopo le taimi? Matagofie. Ua oo i le taimi e amata ai le faiga autu.
Faʻapipiʻi ma muaʻi faʻatulagaina
O le a matou faʻapipiʻi Squid, SquidGuard ma LightSquid mai le pule o pusa pfSense i le vaega "System/Package Manager".
A maeʻa faʻapipiʻi manuia, alu i le "Services / Squid Proxy server /" ma muamua lava, i le Local Cache tab, faʻapipiʻi le caching, ou te setiina mea uma i le 0, aua Ou te le o vaʻaia le tele o faʻamatalaga i nofoaga faʻapipiʻi; tagata suʻesuʻe e taulimaina lelei lenei mea. A maeʻa ona faʻatulagaina, oomi le "Save" button i le pito i lalo o le lau ma o le a maua ai e i matou le avanoa e fai ai faʻatulagaga sui faʻavae.
O fa'atonuga autu e fa'apea:
O le tau fa'aletonu ole 3128, ae ou te mana'o e fa'aoga le 8080.
O fa'ailoga filifilia i le Proxy Interface tab e iloa ai po'o fea feso'ota'iga o le a fa'alogo i ai la tatou 'au'aunaga sui. Talu ai o lenei pa puipui e fausia i se auala e vaʻavaʻai ai i le Initaneti e ala i le WAN interface, e ui lava o le LAN ma le WAN atonu o loʻo i luga ole laiga tutusa i le lotoifale, ou te fautuaina le faʻaogaina o le LAN mo le sui.
E manaʻomia le Loopback mo le sqstat e galue.
I lalo ifo o le ae maua ai le Transparent proxy settings, faʻapea foʻi ma le SSL Filter, ae matou te le manaʻomia, matou sui o le a le manino, ma mo le faʻamamaina o le https matou te le taulimaina le sui o tusi faamaonia (pe a uma, o loʻo i ai a matou pulega o pepa. , tagata fa'atau faletupe, ma isi.), Se'i o tatou tilotilo i le faatalofa.
I lenei laʻasaga, e tatau ona matou o atu i la matou pule o le pule, fatuina se tala i totonu mo le faʻamaoni (e mafai foi ona e faʻaogaina le mea na e faʻatulagaina mo le faʻamaonia i luga o le pfSense lava ia). O se mea taua tele iinei o le afai e te manaʻo e faʻaoga AES128 poʻo AES256 faʻailoga, siaki pusa talafeagai i au faʻamatalaga faʻamatalaga.
Afai o lau vaega o se togavao faigata tele ma se numera tele o directories poʻo lau vaega o le .local, ona MAFAI, ae le mautinoa, e tatau ona e faʻaogaina se upu faʻamaonia faigofie mo lenei tala, o le bug e iloa, ae faʻatasi ai ma se lavelave. password atonu e le aoga, e te manaʻomia le siakiina o se mataupu patino.
A maeʻa nei mea uma, matou te fatuina se faila autu mo Kerberos, i luga o le pule o le pule, tatala se faʻatonuga faʻatonu ma aia tatau ma ulufale:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
O fea matou te faʻaalia ai le matou FQDN pfSense, ia mautinoa e faʻaaloalo i le mataupu, i le mapuser parameter matou te ulufale i la matou faʻamatalaga faʻapitoa ma lana faʻaupuga, ma i le crypto matou te filifilia le auala faʻamalamalamaga, na ou faʻaogaina le rc4 mo le galuega ma i totonu o le -out field matou te filifilia le mea o le a matou auina atu la matou faila autu ua saunia.
A maeʻa ona fatuina le faila autu, matou te lafoina i la matou pfSense, na ou faʻaaogaina mamao mo lenei mea, ae e mafai foi ona e faia lenei mea e faʻaaoga ai le faʻatonuga, putty poʻo le pfSense web interface i le vaega "DiagnosticsCommand Line".
O lea ua mafai ona matou fa'asa'o le fatuina /etc/krb5.conf
o fea /etc/krb5.keytab o le faila autu na matou fatuina.
Ia mautinoa e siaki le gaioiga a Kerberos e faʻaaoga ai le kinit; afai e le aoga, e leai se aoga e faitau atili ai.
Fa'atulagaina o Squid Authentication ma Leai se Fa'amaoniga Avanoa Lisi
A maeʻa ona faʻatulagaina Kerberos, matou te faʻapipiʻi i la matou Squid.
Ina ia faia lenei mea, alu i le ServicesSquid Proxy Server ma i totonu o tulaga autu, alu i le pito i lalo, o iina o le a tatou maua ai le "Advanced Settings" button.
I totonu o le Fa'asinomaga Filifiliga (Before Auth) fanua, ulufale:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow autho fea auth_param feutagaiga polokalame /usr/local/libexec/squid/negotiate_kerberos_auth - filifilia le fesoasoani faʻamaonia Kerberos matou te manaʻomia.
Ki -s ma le uiga GSS_C_NO_NAME - fuafua le faʻaogaina o soʻo se tala mai le faila autu.
Ki -k ma le uiga /usr/local/etc/squid/squid.keytab - fuafua e faʻaaoga lenei faila keytab patino. I loʻu tulaga, o le faila keytab lava lea e tasi na matou fatuina, lea na ou kopiina i le /usr/local/etc/squid/ directory ma toe faʻaigoaina ona e leʻi manaʻo le squid e faauo i lena directory, e foliga mai e leai saʻu. lava aia tatau.
Ki -t ma le uiga -e leai - faʻagata talosaga faʻataʻamilosaga i le pule o le pule, lea e faʻaitiitia ai le uta i luga pe afai e sili atu i le 50 au faʻaoga.
I le taimi o le suʻega, e mafai foʻi ona e faʻaopopo le -d ki - o lona uiga o diagnostics, o le a faʻaalia nisi ogalaau.
auth_param feutagai tamaiti 1000 - fuafua pe fia fa'agasologa o fa'atagaga e mafai ona fa'alauiloa
auth_param feutanaiga keep_alive on - taofia le so'oga mai le motusia a'o palota le filifili fa'atagaina
acl auth proxy_auth MANA'O - fa'atupu ma mana'omia se lisi fa'atonutonu avanoa e aofia ai tagata fa'atagaina
acl nonauth dstdomain "/etc/squid/nonauth.txt" - matou te logoina le squid e uiga i le lisi o avanoa e le sau, lea o loʻo i ai itū'āiga nofoaga e faʻatagaina ai tagata uma. Matou te fatuina le faila lava ia, ma faʻapipiʻi vaega i totonu i le faatulagaga
.whatsapp.com
.whatsapp.net
O loʻo faʻaaogaina Whatsapp e fai ma faʻataʻitaʻiga mo se mafuaʻaga - e sili ona filifili e uiga i faʻamaoniga faʻamaonia ma o le a le aoga pe a le faʻatagaina aʻo leʻi faʻamaonia.
http_access allow nonauth - fa'atagaina avanoa i lenei lisi mo tagata uma
http_access deny !auth - matou te faʻasaina le avanoa i isi nofoaga mo tagata e le faʻatagaina
http_access fa'atagaina le fa'atagaina - fa'atagaina avanoa i tagata fa'atagaina.
O le mea lena, o le Squid lava ia ua faʻatulagaina, o lea ua oʻo i le taimi e amata ai le faʻavasegaina e vaega.
Fa'atonu SquidGuard
Alu ile ServicesSquidGuard Proxy Filter.
I le LDAP Options matou te tuʻuina atu faʻamatalaga o la matou teugatupe na faʻaaogaina mo le faʻamaoniaga a Kerberos, ae i le faʻatulagaga nei:
CN=pfsense,OU=service-accounts,DC=domain,DC=localAfai e iai ni avanoa po'o ni mataitusi e le o ni Latina, o lenei fa'amatalaga atoa e tatau ona fa'apipi'i i upusii tasi pe lua:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Le isi, ia mautinoa e siaki pusa nei:
Ia tipi ese DOMAINpfsense e le mana'omia .LOCAL lea e matua maaleale le faiga atoa.
Sei o tatou o i le Vaega Acl ma fusifusia a tatou vaega avanoa avanoa, ou te faʻaogaina igoa faigofie e pei o le group_0, group_1, ma isi e oʻo atu i le 3, lea o le 3 o lona uiga o le avanoa naʻo le lisi paʻepaʻe, ma le 0 o lona uiga e mafai mea uma.
O vaega e feso'ota'i fa'apea:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))matou te faʻasaoina la matou vaega, alu i le Times, o iina na ou faia ai se vaeluaga e tasi o lona uiga o le a aoga i taimi uma, o lea matou te o atu i le Target Categories ma fai lisi i la matou pule faitalia, pe a uma ona fai lisi matou te toe foʻi i a matou vaega ma i totonu o le vaega matou te faʻaogaina ai faʻamau. e filifili po o ai e mafai ona alu i le mea ma o ai e le mafai ona alu i le mea .
LightSquid ma le sqstat
Afai i le faagasologa o le seti na matou filifilia le loopback i totonu o le squid settings ma tatala le avanoa e maua ai le 7445 i le firewall i luga o la matou upega tafailagi ma luga o le pfSense lava ia, ona matou o ai lea i le DiagnosticsSquid Proxy Reports e faigofie ona matou tatalaina uma sqstat ma Lighsquid, mo le mulimuli ane o le a tatou manaomia O iina e mafai ona e sau i luga ma se login ma upu faataga, ma e mafai foi ona e filifilia se mamanu.
Maea
pfSense o se meafaigaluega sili ona mamana e mafai ona faia le tele o mea - sui o fefaʻatauaiga ma le pulea o tagata faʻaoga i luga ole Initaneti ua naʻo se fatu o le gaioiga atoa, ae ui i lea, i se atinaʻe ma 500 masini, na foia ai le faʻafitauli ma faʻatagaina i matou e sefe. i le fa'atauina o se sui.
Ou te faʻamoemoe o lenei tusiga o le a fesoasoani i se tasi e foia se faʻafitauli e matua talafeagai mo atinaʻe feololo ma tetele.
puna: www.habr.com