pfSense+Squid oo leh https shaandhaynta + Tignoolajiyada calaamad-kaliya (SSO) oo ay wataan shaandhaynta kooxaha Hagaha Active
Sooyaal kooban
Shirkaddu waxay u baahday inay hirgeliso server-ka wakiil awood u leh inay shaandhayso gelitaanka goobaha (ay ku jirto https) ee kooxaha AD, si aanay isticmaalayaashu u gelin wax sir ah oo dheeraad ah, maamulkana waxaa laga samayn karaa is-dhexgalka shabakadda. Codsi xun maaha, miyaanay ahayn?
Jawaabta saxda ah waxay noqon doontaa in la iibsado xalalka sida Kerio Control ama UserGate, laakiin sida had iyo jeer lacag ma jirto, laakiin waxaa jira baahi.
Halkani waa meesha Squid-da hore ee wanaagsani noogu yimaado samatabbixinta, laakiin mar labaad, halkeen ka heli karaa interneedka shabakadda? SAMS2? Akhlaaq ahaan waa duugoobay. Tani waa halka ay pfSense u soo gurmato.
Description
Maqaalkani wuxuu sharxi doonaa sida loo habeeyo server-ka wakiilka Squid.
Kerberos waxaa loo isticmaali doonaa in lagu oggolaado isticmaalayaasha.
SquidGuard waxaa loo isticmaali doonaa in lagu shaandheeyo kooxaha domain
Lightsquid, sqstat iyo nidaamyada la socodka pfSense gudaha ayaa loo isticmaali doonaa la socodka.
Dhibaato caam ah oo la xiriirta hirgelinta tignoolajiyada hal calaamad-on (SSO) ayaa sidoo kale la xallin doonaa, kuwaas oo ah codsiyada isku dayaya inay galaan internetka iyada oo la raacayo koontada kombuyuutarka ee akoonkooda nidaamka.
Isu diyaarinta in lagu rakibo Squid
pfSense waxaa loo isticmaali doonaa saldhig ahaan,
Gudaha kaas oo aan ku habeyno xaqiijinta firewall-ka laftiisa anagoo adeegsanayna akoonnada domainka.
Aad muhiim u ah!
Kahor intaadan bilaabin rakibidda Squid, waxaad u baahan tahay inaad ku habayso server-ka DNS ee pfsense, ka samee diiwaan A iyo diiwaanka PTR ee server-kayaga DNS oo aad dejiso NTP si aanu wakhtigu uga duwanayn wakhtiga maamulaha domainka.
Shabakaddaada, sii awoodda pfSense WAN interface si ay u galaan internetka, iyo isticmaalayaasha shabakadda maxalliga ah si ay ugu xidhmaan interface-ka LAN, oo ay ku jiraan dekedda 7445 iyo 3128 (kiiskayga, 8080).
Dhammaan waa diyaar? Goobku ma ku xidhan yahay LDAP si loo oggolaado pfSense oo wakhtiga ma la wada siman yahay? Wayn Waa waqtigii la bilaabi lahaa habka ugu muhiimsan.
Rakibaadda iyo habaynta ka hor
Waxaan ku rakibi doonaa Squid, SquidGuard iyo LightSquid maareeyaha xirmada pfSense ee qaybta "System/Package Manager".
Ka dib markii la rakibo si guul leh, u tag "Services/Squid Proxy Server/" iyo marka hore, gudaha tabka Local Cache tab, habee caching, wax walbana waxaan dhigay 0, sababtoo ah Ma arko wax badan oo ku saabsan goobaha kaydinta; daalacashada ayaa tan si fiican u maamula. Ka dib markaad dejiso, riix badhanka "Save" ee hoose ee shaashadda tani waxay na siin doontaa fursad aan ku samayno goobaha wakiillada aasaasiga ah.
Goobaha ugu muhiimsan waa sida soo socota:
Dekadda caadiga ah waa 3128, laakiin waxaan doorbidayaa inaan isticmaalo 8080.
Halbeegyada la xushay ee ku jira tab Interface-ka Proxy-ga ayaa go'aaminaya is-dhexgalada server-kayaga wakiilku uu dhegeysan doono. Maadaama dabkan loo dhisay si uu u eego internetka iyada oo loo marayo interface WAN, inkastoo LAN iyo WAN laga yaabo inay ku jiraan isla subnet maxalli ah, waxaan ku talinayaa isticmaalka LAN ee wakiilka.
Loopback ayaa loo baahan yahay si uu sqstat u shaqeeyo.
Hoos waxaad ka heli doontaa goobaha wakiillada Transparent, iyo sidoo kale SSL Filter, laakiin uma baahnin iyaga, wakiilkeena ma noqon doono mid daah-furan, iyo shaandhaynta https ma qaban doono beddelka shahaado (ka dib oo dhan, waxaan leenahay maamulka dukumentiga , Macaamiisha bangiyada, iwm.), Bal aynu eegno gacan-qaadka.
Marxaladdan, waxaan u baahanahay inaan u tagno maamulaha domainka, ka abuurno akoon si loo xaqiijiyo (waxaad sidoo kale isticmaali kartaa midka aad u habaysay xaqiijinta pfSense lafteeda). Arrin aad muhiim u ah halkan ayaa ah in haddii aad doonayso inaad isticmaasho sirta AES128 ama AES256, calaamee sanduuqyada ku habboon goobaha akoonkaaga.
Haddii goobtaadu tahay kayn aad u adag oo leh tiro badan oo hagayaal ah ama domainkaagu yahay .maxali ah, ka dibna POSSIBLY, laakiin ma hubo, waxaad u baahan doontaa inaad isticmaasho furaha sirta ah ee xisaabtan, bug waa la yaqaan, laakiin leh kakan furaha sirta ah waxa laga yaabaa in aanu si fudud u shaqayn, waxaad u baahan tahay inaad hubiso kiis gaar ah oo gaar ah.
Waxaas oo dhan ka dib, waxaan u abuurnay feyl muhiim ah Kerberos, oo ku yaal kontoroolka domainka, fur amar degdeg ah oo leh xuquuqaha maamulaha oo geli:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Meesha aan ku muujino FQDN pfSense, hubi inaad ixtiraamto kiiska, xadka mapuser waxaan galeynaa akoonkeena domain iyo erayga sirta ah, iyo crypto waxaan dooraneynaa habka sirta ah, waxaan u isticmaalay rc4 shaqada iyo goobta bannaanka waxaan dooraneynaa meesha waxaanu soo diri doonaa faylkayaga muhiimka ah ee diyaarsan.
Ka dib markii si guul leh loo abuuro faylka muhiimka ah, waxaan u diri doonaa pfSense-keena, waxaan u isticmaalay Far tan tan, laakiin waxaad sidoo kale samayn kartaa tan adoo isticmaalaya amarrada, putty ama internetka pfSense ee qaybta "DiagnosticsCommand Line".
Hadda waxaan wax ka beddeli karnaa Create /etc/krb5.conf
halka /etc/krb5.keytab uu yahay faylka muhiimka ah ee aan abuurnay.
Hubi inaad hubiso shaqada Kerberos adoo isticmaalaya kinit; haddii aysan shaqayn, ma jirto wax faa'iido ah oo aad wax badan u akhrido.
Habaynta Xaqiijinta Squid iyo Liis Helitaanka Xaqiijin Malaha
Markaan si guul leh u habeynay Kerberos, waxaan ku dhejin doonaa Squid-keena.
Si tan loo sameeyo, u gudub ServerSquid Proxy Server iyo goobaha ugu muhiimsan, aad u hooseeya, halkaas waxaan ka heli doonaa badhanka "Advanced settings".
Gudaha ikhtiyaarka gaarka ah (kahor intaan la xaqiijin), geli:
#Π₯Π΅Π»ΠΏΠ΅ΡΡ
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Π‘ΠΏΠΈΡΠΊΠΈ Π΄ΠΎΡΡΡΠΏΠ°
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΡ
http_access allow nonauth
http_access deny !auth
http_access allow authxagee auth_param gorgortanka barnaamijka /usr/local/libexec/squid/negotiate_kerberos_auth - waxay doorataa caawiyaha xaqiijinta Kerberos ee aan u baahanahay.
Furaha -s macne leh GSS_C_NO_NAME - waxay go'aamisaa isticmaalka akoon kasta ee faylka muhiimka ah.
Furaha -k macne leh /usr/local/etc/squid/squid.keytab - wuxuu go'aamiyaa inuu isticmaalo faylka muhiimka ah ee keytab. Xaaladdayda, kani waa isla faylka keytab ee aan abuurnay, kaas oo aan ku koobiyeeyay /usr/local/etc/squid/ directory oo aan u beddelay, sababtoo ah squid-ku ma rabin in uu saaxiib la noqdo buuggaas, sida muuqata ma aanan rabin leeyihiin xuquuq ku filan.
Furaha -t macne leh - midna - waxay joojisaa codsiyada meertada ah ee maamulaha domainka, taas oo aad u yaraynaysa culayska saaran haddii aad leedahay in ka badan 50 isticmaale.
Inta lagu jiro tijaabada, waxa kale oo aad ku dari kartaa -d switch - ie. ogaanshaha, qoraallo badan ayaa la soo bandhigi doonaa.
auth_param gorgortanka caruurta 1000 - waxay go'aamisaa inta hab ee oggolaanshaha isku mar ah ee la bilaabi karo
auth_param gorgortanka sii noolow - waxay ka hortagtaa xiriirka in la gooyo marka la codeynayo silsiladda oggolaanshaha
acl auth proxy_auth REQUIRED - abuuraa oo u baahan liiska xakamaynta gelitaanka oo ay ku jiraan isticmaalayaasha idman
acl nonauth dstdomain "/etc/squid/nonauth.txt" - Waxaan u sheegaynaa dabacasaha wax ku saabsan liiska gelitaanka nonauth, kaas oo ka kooban meelaha loo socdo kaas oo qof walba loo ogolaan doono inuu galo. Waxaan abuurnaa feylka laftiisa, oo waxaan galnaa xayndaabka gudaha qaabka
.whatsapp.com
.whatsapp.net
Whatsapp waxaa loo isticmaalaa tusaale ahaan sabab - aad bay u doorataa wakiillada xaqiijinta mana shaqeyn doonto haddii aan la oggolaan kahor intaan la xaqiijin.
http_access u oggolow nonauth - U ogolow gelida liiskan qof walba
http_access diid !auth - Waxaan ka mamnuucnay gelitaanka goobaha kale ee isticmaalayaasha aan la oggolayn
http_access ogolaanshaha - u oggolow gelitaanka isticmaalayaasha idman
Taasi waa, Squid lafteeda ayaa la habeeyey, hadda waa waqtigii la bilaabi lahaa shaandhaynta kooxaha.
Dejinta SquidGuard
Tag AdeegyadaSquidGuard Proxy Filter.
Ikhtiyaarada LDAP waxaanu galnaa faahfaahinta akoonkeena loo isticmaalo xaqiijinta Kerberos, laakiin qaabkan soo socda:
CN=pfsense,OU=service-accounts,DC=domain,DC=localHaddii ay jiraan meelo bannaan ama xarfo aan Latin ahayn, gelitaankan oo dhan waa in lagu soo lifaaqaa xigashooyin keliya ama laba jibaaran:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Marka xigta, hubi inaad saxdo sanduuqyadan:
Si loo gooyo DOMAINpfsense aan loo baahnayn .DEEGAAN kaas oo nidaamka oo dhan uu aad xasaasi ugu yahay.
Hadda aan aadno Kooxda Acl oo aan xidhno kooxaha gelitaanka domainka, waxaan isticmaalaa magacyo fudud sida group_0, group_1, iwm. ilaa 3, halkaas oo 3 macnaheedu yahay gelitaanka kaliya liiska cad, iyo 0 macnaheedu waa wax walba waa suurtagal.
Kooxaha ayaa isku xidhan sida soo socota:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))Waxaan badbaadinaa kooxdayada, tag Times, halkaas waxaan ku abuuray hal farqi taas oo macnaheedu yahay inuu had iyo jeer shaqeyn doono, hadda waxaan aadeynaa Qeybaha Bartilmaameedka oo aan sameyno liisyo annagu go'aankeena, ka dib markii aan abuurno liisaska waxaan ku laabanaa kooxahayada, kooxda dhexdeeda waxaan isticmaalnaa badhamada in la doorto cidda tagi karta iyo cidda aan tagi karin.
LightSquid iyo sqstat
Haddii inta lagu guda jiro habka dejinta waxaan dooranay loopback ee goobaha squid oo aan furnay awoodda lagu galo 7445 ee dabka labadaba shabakadayada iyo pfSense lafteeda, markaa markaan aado DiagnosticsSquid Proxy Reports waxaan si fudud u furi karnaa labadaba sqstat iyo Lighsquid, Ka dib waxaan u baahan doonaa Halkaa waxaad la imaan kartaa login iyo password, sidoo kale waxaad dooran kartaa naqshad.
Buuxi
pfSense waa qalab aad u awood badan oo wax badan qaban kara - wakiil ka ah taraafikada iyo xakamaynta isticmaalka internetka waa qayb ka mid ah shaqeynta oo dhan, si kastaba ha ahaatee, shirkad leh 500 oo mashiinno ah, waxay xallisay dhibaatada waxayna noo ogolaatay inaan badbaadino. iibsashada wakiil.
Waxaan rajeynayaa in maqaalkani uu qof ka caawin doono inuu xalliyo mushkilad ku habboon ganacsiyada dhexe iyo kuwa waaweyn.
Source: www.habr.com