пфСенсе+Скуид са хттпс филтрирањем + технологија јединственог пријављивања (ССО) са филтрирањем према групама Ацтиве Дирецтори-а
Кратка позадина
Предузећу је било потребно да имплементира проки сервер са могућношћу филтрирања приступа сајтовима (укључујући хттпс) по групама из АД, тако да корисници не уносе додатне лозинке, а администрација се може вршити са веб интерфејса. Није лоша апликација, зар не?
Тачан одговор би био да се купе решења као што су Керио Цонтрол или УсерГате, али као и увек новца нема, али постоји потреба.
Овде нам долази у помоћ добри стари Скуид, али опет, где могу да набавим веб интерфејс? САМС2? Морално застарело. Овде пфСенсе прискаче у помоћ.
Опис
Овај чланак ће описати како да конфигуришете Скуид проки сервер.
Керберос ће се користити за ауторизацију корисника.
СкуидГуард ће се користити за филтрирање према групама домена.
За праћење ће се користити Лигхтскуид, скстат и интерни пфСенсе системи за праћење.
Биће решен и уобичајен проблем везан за имплементацију технологије јединственог пријављивања (ССО), а то су апликације које покушавају да приступе Интернету под налогом компаса свог системског налога.
Припрема за инсталирање Скуид
пфСенсе ће се користити као основа,
Унутар којих организујемо аутентификацију за сам заштитни зид користећи налоге домена.
Веома је важно!
Пре него што почнете да инсталирате Скуид, потребно је да конфигуришете ДНС сервер у пфсенсе-у, направите А запис и ПТР запис за њега на нашем ДНС серверу и конфигуришете НТП тако да се време не разликује од времена на контролеру домена.
И у вашој мрежи обезбедите могућност пфСенсе ВАН интерфејса да приступи Интернету, а корисницима на локалној мрежи да се повежу на ЛАН интерфејс, укључујући и преко порта 7445 и 3128 (у мом случају 8080).
Све је спремно? Да ли је домен повезан преко ЛДАП-а за ауторизацију на пфСенсе-у и да ли је време синхронизовано? Велики. Време је да започнемо главни процес.
Инсталација и пред-конфигурација
Инсталираћемо Скуид, СкуидГуард и ЛигхтСкуид из пфСенсе менаџера пакета у одељку „Систем/Пацкаге Манагер“.
Након успешне инсталације идите на „Сервицес/Скуид Проки сервер/” и пре свега, на картици Локални кеш, конфигуришите кеширање, све сам поставио на 0, јер Не видим много смисла у кеширању сајтова; прегледачи то добро решавају. Након подешавања, притисните дугме „Сачувај“ на дну екрана и то ће нам дати прилику да извршимо основна подешавања проксија.
Главна подешавања су следећа:
Подразумевани порт је 3128, али више волим да користим 8080.
Изабрани параметри на картици Прокси интерфејс одређују које интерфејсе ће наш прокси сервер слушати. Пошто је овај заштитни зид направљен тако да гледа на Интернет преко ВАН интерфејса, иако су ЛАН и ВАН можда на истој локалној подмрежи, препоручујем да користите ЛАН за проки.
Повратна петља је потребна да би скстат радио.
Испод ћете пронаћи подешавања Транспарент проксија, као и ССЛ филтер, али нам они нису потребни, наш прокси неће бити транспарентан, а за хттпс филтрирање нећемо се бавити заменом сертификата (на крају крајева, имамо управљање документима , клијенти банке итд.), Погледајмо само стисак руке.
У овој фази, морамо да одемо до нашег контролера домена, да креирамо налог у њему за аутентификацију (можете користити и онај који сте конфигурисали за аутентификацију на самом пфСенсе-у). Овде је веома важан фактор да ако намеравате да користите АЕС128 или АЕС256 шифровање, означите одговарајућа поља у подешавањима налога.
Ако је ваш домен веома сложена шума са великим бројем директоријума или је ваш домен .лоцал, онда МОЖДА, али не сигурно, мораћете да користите једноставну лозинку за овај налог, грешка је позната, али са сложеном лозинка можда једноставно неће радити, потребно је да проверите конкретан појединачни случај.
Након свега овога, креирамо кључну датотеку за Керберос, на контролеру домена, отворимо командну линију са администраторским правима и унесемо:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Тамо где назначимо наш ФКДН пфСенсе, обавезно поштујте велика и мала слова, у параметар мапусер уносимо наш налог домена и његову лозинку, ау крипто бирамо метод шифровања, ја сам користио рц4 за рад и у пољу -оут бирамо где послаћемо нашу готову кључну датотеку.
Након успешног креирања датотеке кључа, послаћемо је нашем пфСенсе-у, за ово сам користио Фар, али то можете учинити и помоћу команди, кита или преко пфСенсе веб интерфејса у одељку „ДиагностицсЦомманд Лине“.
Сада можемо да уредимо креирање /етц/крб5.цонф
где је /етц/крб5.кеитаб кључна датотека коју смо креирали.
Обавезно проверите рад Кербероса помоћу кинит-а; ако не ради, нема смисла даље читати.
Конфигурисање потврде идентитета лигње и листе приступа без аутентификације
Након што смо успешно конфигурисали Керберос, прикачићемо га на наш Скуид.
Да бисте то урадили, идите на СервицесСкуид проки сервер и у главним подешавањима идите на дно, тамо ћемо пронаћи дугме „Напредна подешавања“.
У поље Прилагођене опције (пре потврде) унесите:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authгде аутх_парам преговарачки програм /уср/лоцал/либекец/скуид/неготиате_керберос_аутх — бира помоћника за Керберос аутентификацију који нам је потребан.
Кључ -s са значењем ГСС_Ц_НО_НАМЕ — одређује употребу било ког налога из датотеке кључева.
Кључ -k са значењем /уср/лоцал/етц/скуид/скуид.кеитаб — одлучује да користи ову конкретну датотеку кеитаб. У мом случају, ово је исти кеитаб фајл који смо ми генерисали, који сам копирао у директоријум /уср/лоцал/етц/скуид/ и преименовао га јер скуид није желео да буде пријатељ са тим директоријумом, очигледно нисам имао довољно права.
Кључ -t са значењем -т ноне — онемогућава цикличне захтеве према контролеру домена, што у великој мери смањује оптерећење на њему ако имате више од 50 корисника.
Током теста можете додати и прекидач -д - тј. дијагностика, биће приказано више евиденција.
аутх_парам преговарати о деци 1000 — одређује колико истовремених процеса ауторизације може бити покренуто
аутх_парам неготиате кееп_аливе он — спречава прекид везе док се прозива ланац ауторизације
ацл аутх проки_аутх ОБАВЕЗНО — креира и захтева листу контроле приступа која укључује овлашћене кориснике
ацл нонаутх дстдомаин "/етц/скуид/нонаутх.ткт" — обавештавамо лигњу о листи приступа без ауторизације, која садржи одредишне домене којима ће свима увек бити дозвољен приступ. Креирамо саму датотеку и уносимо домене унутар ње у формату
.whatsapp.com
.whatsapp.net
Вхатсапп се користи као пример с разлогом - веома је избирљив у вези са проксијима за аутентификацију и неће радити ако није дозвољен пре аутентификације.
хттп_аццесс дозволи неаут — дозволи приступ овој листи за све
хттп_аццесс дени !аутх — забрањујемо приступ другим сајтовима неовлашћеним корисницима
хттп_аццесс дозволи аутх — дозволи приступ овлашћеним корисницима.
То је то, сам Скуид је конфигурисан, сада је време да почнемо да филтрирамо по групама.
Постављање СкуидГуард-а
Идите на СервицесСкуидГуард проки филтер.
У ЛДАП опције уносимо детаље нашег налога који се користи за Керберос аутентификацију, али у следећем формату:
CN=pfsense,OU=service-accounts,DC=domain,DC=localАко има размака или знакова који нису латинични, цео овај унос треба ставити у једноструке или двоструке наводнике:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Затим обавезно означите ова поља:
Да бисте прекинули непотребан ДОМАИНпфсенсе .ЛОКАЛНО на које је цео систем веома осетљив.
Сада идемо на Гроуп Ацл и вежемо наше групе за приступ домену, ја користим једноставна имена као што су гроуп_0, гроуп_1, итд. до 3, где 3 значи приступ само белој листи, а 0 значи да је све могуће.
Групе су повезане на следећи начин:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))сачувамо нашу групу, идемо у Тимес, тамо сам направио једну празнину која значи да ће увек радити, сада идемо у Таргет Цатегориес и креирамо листе по сопственом нахођењу, након креирања листа враћамо се у наше групе и унутар групе користимо дугмад да изаберете ко где може и ко не може.
ЛигхтСкуид и скстат
Ако смо током процеса подешавања изабрали лоопбацк у подешавањима скуид-а и отворили могућност приступа 7445 у заштитном зиду и на нашој мрежи и на самом пфСенсе-у, онда када одемо на ДиагностицсСкуид Проки Репортс лако можемо отворити и скстат и Лигхскуид, за Ово последње ће нам требати. Овде можете смислити логин и лозинку, а такође можете изабрати дизајн.
Завршетак
пфСенсе је веома моћан алат који може да уради много ствари - прокси саобраћај и контрола приступа корисника Интернету је само зрно целокупне функционалности, међутим, у предузећу са 500 машина, решио је проблем и омогућио нам да уштедимо о куповини пуномоћника.
Надам се да ће овај чланак помоћи некоме да реши проблем који је прилично релевантан за средња и велика предузећа.
Извор: ввв.хабр.цом