pfSense+Squid e nang le sefa ea https + theknoloji ea ho saena e le 'ngoe (SSO) ka ho sefa ka lihlopha tsa Active Directory
Mokhutšoanyane
Khoebo e ne e hloka ho kenya tšebetsong seva ea proxy e nang le bokhoni ba ho sefa phihlello ea libaka (ho kenyeletsoa le https) ka lihlopha tse tsoang ho AD, e le hore basebelisi ba se ke ba kenya li-password tse ling, mme tsamaiso e ka etsoa ho tsoa ho sehokelo sa marang-rang. Ha se kopo e mpe, na ha ho joalo?
Karabo e nepahetseng e ka ba ho reka litharollo tse kang Kerio Control kapa UserGate, empa joalo ka kamehla ha ho na chelete, empa ho na le tlhokahalo.
Mona ke moo Squid e ntle ea khale e re pholosang, empa hape, nka fumana sebopeho sa webo hokae? SAMS2? E siiloe ke nako ka boitšoaro. Mona ke moo pfSense e tlang ho thusa.
tlhaloso
Sengoliloeng sena se tla hlalosa mokhoa oa ho hlophisa seva ea proxy ea Squid.
Kerberos e tla sebelisoa ho fana ka tumello ea basebelisi.
SquidGuard e tla sebelisoa ho sefa ka lihlopha tsa domain.
Lightsquid, sqstat le tsamaiso ea ka hare ea pfSense e tla sebelisoa bakeng sa ho beha leihlo.
Bothata bo tloaelehileng bo amanang le ts'ebetsong ea theknoloji e le 'ngoe ea ho saena (SSO) le eona e tla rarolloa, e leng likopo tse lekang ho kena Inthaneteng tlas'a akhaonto ea k'hamphani ea akhaonto ea bona ea tsamaiso.
Ho itokisetsa ho kenya Squid
pfSense e tla sebelisoa e le motheo,
Ka hare ho eona re hlophisa netefatso ho firewall ka boeona re sebelisa li-account tsa domain.
E bohlokoa haholo!
Pele o qala ho kenya Squid, o hloka ho lokisa seva sa DNS ka pfsense, etsa tlaleho ea A le PTR bakeng sa eona ho seva sa rona sa DNS mme u lokise NTP e le hore nako e se ke ea fapana le nako ea molaoli oa domain.
'Me marang-rang a hau, fana ka bokhoni ba sebopeho sa pfSense WAN ho fihlella Marang-rang, le bakeng sa basebelisi ba marang-rang ba sebakeng sa heno ho hokela sebopeho sa LAN, ho kenyeletsoa ka port 7445 le 3128 (tabeng ea ka, 8080).
Tsohle di lokile? Na sebaka sa marang-rang se hokahantsoe ka LDAP bakeng sa tumello ho pfSense 'me na nako e hokahantsoe? E kholo. Ke nako ea ho qala ts'ebetso e kholo.
Ho kenya le ho lokisa pele
Re tla kenya Squid, SquidGuard le LightSquid ho tsoa ho mookameli oa sephutheloana sa pfSense karolong ea "System/Package Manager".
Ka mor'a ho kenya ka katleho, e-ea ho "Services / Squid Proxy server /" 'me pele ho tsohle, tabeng ea Cache ea Sebaka, lokisa caching, ke beha ntho e' ngoe le e 'ngoe ho 0, hobane Ha ke bone ntlha e ngata libakeng tsa caching; libatli li sebetsana le sena hantle. Kamora ho beha, tobetsa konopo ea "Boloka" tlase skrineng mme sena se tla re fa monyetla oa ho etsa litlhophiso tsa mantlha tsa proxy.
Litlhophiso tsa mantlha ke tse latelang:
Boema-kepe ba kamehla ke 3128, empa ke khetha ho sebelisa 8080.
Litlhophiso tse khethiloeng ho tab ea Sehokelo sa Proxy li bontša hore na seva ea rona ea moemeli e tla mamela lihokelo life. Kaha firewall ena e hahiloe ka tsela eo e shebahalang ka eona Inthaneteng ka sebopeho sa WAN, le hoja LAN le WAN li ka 'na tsa e-ba ka har'a subnet ea sebaka se le seng, ke khothaletsa ho sebelisa LAN bakeng sa moemeli.
Loopback ea hlokahala hore sqstat e sebetse.
Ka tlase u tla fumana litlhophiso tsa moemeli oa Transparent, hammoho le Filter ea SSL, empa ha re li hloke, proxy ea rona e ke ke ea e-ba pepeneneng, 'me bakeng sa ho sefa ha https re ke ke ra sebetsana le phetoho ea setifikeiti (ka mor'a tsohle, re na le tsamaiso ea litokomane. , bareki ba banka, joalo-joalo), Ha re shebeng ho tšoarana ka matsoho.
Mothating ona, re hloka ho ea ho molaoli oa sebaka sa rona, ho theha ak'haonte ho eona bakeng sa netefatso (u ka sebelisa eo u e lokiselitseng ho netefatsa ho pfSense ka boeona). Taba ea bohlokoa haholo mona ke hore haeba u ikemiselitse ho sebelisa encryption ea AES128 kapa AES256, sheba mabokose a loketseng litlhophisong tsa akhaonto ea hau.
Haeba sebaka sa hau e le moru o rarahaneng haholo o nang le palo e kholo ea li-directory kapa sebaka sa hau sa marang-rang ke .local, joale POSSIBLY, empa ha ho joalo, u tla tlameha ho sebelisa password e bonolo bakeng sa akhaonto ena, kokoana e tsejoa, empa ka mokhoa o rarahaneng. password e kanna ea se sebetse, o hloka ho hlahloba nyeoe e itseng.
Kamora tsena tsohle, re theha faele ea bohlokoa bakeng sa Kerberos, ho molaoli oa domain, bula molaetsa oa taelo ka litokelo tsa molaoli ebe o kenya:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Moo re bonts'ang FQDN pfSense ea rona, etsa bonnete ba hore re hlompha nyeoe, ho parameter ea mapuser re kenya ak'haonte ea rona ea domain le password ea eona, 'me ka crypto re khetha mokhoa oa encryption, ke sebelisitse rc4 bakeng sa mosebetsi le tšimong eo re e khethang moo. re tla romella faele ea rona ea senotlolo e lokiselitsoeng.
Ka mor'a ho atleha ho theha faele ea bohlokoa, re tla e romella ho pfSense ea rona, ke sebelisitse Hole bakeng sa sena, empa u ka boela ua etsa sena ka ho sebelisa litaelo, putty kapa ka pfSense web interface karolong ea "DiagnosticsCommand Line".
Joale re ka hlophisa ho theha /etc/krb5.conf
moo /etc/krb5.keytab e leng faele ea bohlokoa eo re e entseng.
Etsa bonnete ba hore u hlahloba ts'ebetso ea Kerberos u sebelisa kinit; haeba e sa sebetse, ha ho na thuso ho bala ho ea pele.
Ho Hlophisa Netefatso ea Squid 'me Ha ho Lethathamo la Phano ea Botiiso
Ha re se re atlehile ho lokisa Kerberos, re tla e hokela ho Squid ea rona.
Ho etsa sena, e ea ho Seva ea Proxy ea ServicesSquid 'me ka har'a li-setting tsa mantlha, e-ea tlase, moo re tla fumana konopo ea "Advanced Settings".
Karolong ea Likhetho tse Tloaelehileng (Pele Auth), kenya:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authmoo auth_param lenaneo la lipuisano /usr/local/libexec/squid/negotiate_kerberos_auth — khetha mothusi oa netefatso ea Kerberos eo re e hlokang.
Senotlolo -s ka moelelo GSS_C_NO_NAME - e etsa qeto ea ts'ebeliso ea akhaonto efe kapa efe ho tsoa faeleng ea senotlolo.
Senotlolo -k ka moelelo /usr/local/etc/squid/squid.keytab - e khetha ho sebelisa faele ena ea konopo. Tabeng ea ka, ena ke eona file ea keytab eo re e hlahisitseng, eo ke e kopitsitseng ho / usr / local / etc / squid / directory mme ke e reha lebitso hobane squid e ne e sa batle ho ba metsoalle le buka eo, ho hlakile hore ke ne ke se na eona. ditokelo tse lekaneng.
Senotlolo -t ka moelelo - ha ho letho - E tima likopo tsa cyclical ho molaoli oa sebaka, e leng ho fokotsang mojaro ho eona haholo haeba o na le basebelisi ba fetang 50.
Nakong ea teko, o ka boela oa eketsa -d switch - ke hore, ho hlahloba, ho tla hlaha li-log tse ngata.
auth_param buisana le bana ba 1000 - e etsa qeto ea hore na ke mekhoa e mekae ea tumello e ka hlahisoang ka nako e le 'ngoe
auth_param negotiate keep_alive on - e thibela khokahano hore e se ke ea khaoloa ha ho ntse ho khethoa ketane ea tumello
acl auth proxy_auth E HLOKAHALA — e theha le ho hloka lenane la taolo ya phihlello le kenyeletsang basebedisi ba dumelletsweng
acl nonauth dstdomain "/etc/squid/nonauth.txt" — re tsebisa squid ka lenane la phihlello leo e seng la nauth, le nang le libaka tseo motho e mong le e mong a tla lula a lumelloa ho kena ho tsona. Re iketsetsa faele ka boeona, 'me re kenya libaka tse ka hare ho eona ka mokhoa
.whatsapp.com
.whatsapp.net
Whatsapp e sebelisoa e le mohlala ka lebaka - e khetha haholo mabapi le li-proxies tsa netefatso mme e ke ke ea sebetsa haeba e sa lumelloe pele ho netefatso.
http_access lumella nonauth - lumella bohle ho fumana lethathamo lena
http_access hana !auth - re thibela ho kena libakeng tse ling bakeng sa basebelisi ba sa lumelloeng
http_access lumella auth - lumella ho fihlella ho basebelisi ba lumelletsoeng.
Ke hona, Squid ka boeona e hlophisitsoe, joale ke nako ea ho qala ho sefa ka lihlopha.
Ho theha SquidGuard
Eya ho Setlhopha sa Proxy sa ServicesSquidGuard.
Ho LDAP Options re kenya lintlha tsa ak'haonte ea rona e sebelisitsoeng bakeng sa netefatso ea Kerberos, empa ka mokhoa o latelang:
CN=pfsense,OU=service-accounts,DC=domain,DC=localHaeba ho na le libaka kapa litlhaku tseo e seng tsa Selatine, kenyelletso ena kaofela e lokela ho kenngoa ka mantsoe a le mong kapa a mabeli:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"E latelang, etsa bonnete ba hore u tšoaea mabokose ana:
Ho khaola DOMAINpfsense e sa hlokahaleng .LOCAL eo tsamaiso eohle e leng hlokolosi haholo ho eona.
Joale a re ee ho Sehlopha sa Acl 'me re tlame lihlopha tsa rona tsa ho fumana marang-rang, ke sebelisa mabitso a bonolo joaloka sehlopha_0, sehlopha_1, joalo-joalo ho fihlela ho 3, moo 3 e bolelang ho fihlella feela lethathamong le tšoeu,' me 0 e bolela hore ntho e 'ngoe le e' ngoe e ka khoneha.
Lihlopha li kopantsoe ka tsela e latelang:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))re boloka sehlopha sa rona, re ea ho Times, teng ke ile ka theha lekhalo le le leng le bolelang hore le tla lula le sebetsa, joale re ea ho Target Categories le ho etsa li-list ka boikhethelo ba rona, ka mor'a ho theha li-list re khutlela ho lihlopha tsa rona le ka har'a sehlopha re sebelisa likonopo. ho khetha hore na ke mang ea ka eang kae le ea sa khoneng ho ea kae .
LightSquid le sqstat
Haeba nakong ea ts'ebetso ea ho seta re khethile loopback litlhophisong tsa squid mme ra bula bokhoni ba ho fihlella 7445 ho firewall ka bobeli marang-rang a rona le ho pfSense ka boeona, joale ha re ea ho DiagnosticsSquid Proxy Reports re ka bula ka bobeli sqstat le Lighsquid habonolo, qetellong re tla hloka Ho na le o ka tla le ho kena le phasewete, 'me u ka boela khetha moralo.
Qetellong
pfSense ke sesebelisoa se matla haholo se ka etsang lintho tse ngata - proxying sephethephethe le ho laola phihlello ea basebelisi ho Marang-rang ke thollo ea ts'ebetso eohle, leha ho le joalo, khoebong e nang le mechini ea 500, e rarollotse bothata mme ea re lumella ho boloka. ka theko ya moemedi.
Ke tšepa hore sengoloa sena se tla thusa motho ho rarolla bothata bo loketseng likhoebo tse mahareng le tse kholo.
Source: www.habr.com