pfSense+Squid kalawan nyaring https + Single sign-on technology (SSO) kalawan nyaring ku grup Active Directory
tukang ringkes
Perusahaan diperlukeun pikeun nerapkeun server proxy kalawan kamampuhan pikeun nyaring aksés ka loka (kaasup https) ku grup ti AD, ku kituna pamaké teu ngasupkeun sandi tambahan, sarta administrasi bisa dipigawé ti panganteur web. Henteu aplikasi anu goréng, sanés?
Jawaban anu bener bakal mésér solusi sapertos Kerio Control atanapi UserGate, tapi sapertos biasa teu aya artos, tapi aya anu peryogi.
Ieu dimana Cumi heubeul alus datang ka nyalametkeun urang, tapi deui, dimana kuring bisa meunangkeun panganteur web? SAMS2? Moral katinggaleun jaman. Ieu dimana pfSense datang ka nyalametkeun teh.
gambaran
Artikel ieu bakal ngajelaskeun kumaha carana ngonpigurasikeun server proxy Squid.
Kerberos bakal dianggo pikeun otorisasi pangguna.
SquidGuard bakal dipaké pikeun nyaring ku grup domain.
Lightsquid, sqstat sareng sistem ngawaskeun pfSense internal bakal dianggo pikeun ngawaskeun.
Masalah umum anu aya hubunganana sareng palaksanaan téknologi single sign-on (SSO) ogé bakal direngsekeun, nyaéta aplikasi anu nyobian ngaksés Internét dina akun kompas akun sistemna.
Nyiapkeun pikeun masang Squid
pfSense bakal dianggo salaku dasar,
Di jerona urang ngatur auténtikasi kana firewall sorangan nganggo akun domain.
Penting pisan!
Sateuacan anjeun ngamimitian masang Cumi-cumi, anjeun kedah ngonpigurasikeun server DNS di pfsense, ngadamel catetan A sareng PTR pikeun éta dina server DNS kami sareng ngonpigurasikeun NTP supados waktosna henteu bénten sareng waktos dina controller domain.
Sarta dina jaringan anjeun, nyadiakeun kamampuhan pikeun panganteur Wan pfSense aksés Internet, sarta pikeun pamaké dina jaringan lokal pikeun nyambung ka panganteur LAN, kaasup via port 7445 jeung 3128 (bisi kuring, 8080).
Sadayana tos siap? Naha domain disambungkeun via LDAP pikeun otorisasi dina pfSense sareng waktosna disingkronkeun? Hebat. Ieu waktu pikeun ngamimitian prosés utama.
Pamasangan sareng pra-konfigurasi
Kami bakal masang Squid, SquidGuard sareng LightSquid tina manajer pakét pfSense dina bagian "System / Package Manager".
Saatos instalasi suksés, angkat ka "Services / Squid Proxy server /" sareng mimitina, dina tab Cache Lokal, ngonpigurasikeun cache, kuring nyetél sadayana ka 0, sabab. Kuring henteu ningali seueur titik dina situs cache; panyungsi nanganan ieu saé. Saatos netepkeun, pencét tombol "Simpen" di handapeun layar sareng ieu bakal masihan urang kasempetan pikeun ngadamel setélan proxy dasar.
Setélan utama nyaéta kieu:
Port standar nyaéta 3128, tapi kuring resep nganggo 8080.
Parameter anu dipilih dina tab Proxy Interface nangtukeun antarmuka mana anu bakal didangukeun ku server proxy kami. Kusabab firewall ieu diwangun dina cara sapertos nu eta Sigana di Internet ngaliwatan panganteur Wan, sanajan LAN jeung Wan bisa jadi dina subnet lokal sarua, Kuring nyarankeun ngagunakeun LAN pikeun proxy.
Loopback diperlukeun pikeun sqstat digawé.
Di handap ieu anjeun bakal mendakan setélan proxy Transparan, ogé Saringan SSL, tapi kami henteu peryogi aranjeunna, proxy kami moal transparan, sareng pikeun nyaring https kami moal nungkulan substitusi sertipikat (sanggeus sadayana, kami gaduh manajemén dokumén. , klien bank, jsb), Hayu urang ngan kasampak di sasalaman.
Dina tahap ieu, urang kudu indit ka controller domain urang, nyieun hiji akun di dinya pikeun auténtikasi (anjeun ogé bisa ngagunakeun hiji nu Anjeun ngonpigurasi pikeun auténtikasi on pfSense sorangan). Faktor anu penting pisan di dieu nyaéta upami anjeun badé nganggo enkripsi AES128 atanapi AES256, pariksa kotak anu cocog dina setélan akun anjeun.
Upami domain anjeun mangrupikeun leuweung anu kompleks pisan sareng sajumlah ageung diréktori atanapi domain anjeun .lokal, maka MUNGKIN, tapi henteu pasti, anjeun kedah nganggo kecap konci anu saderhana pikeun akun ieu, bug dipikanyaho, tapi kalayan kompleks. sandi éta ngan saukur teu bisa dipake, Anjeun kudu pariksa dina kasus individu husus.
Sanggeus kabéh ieu, urang nyieun file konci pikeun Kerberos, dina controller domain, buka ajakan paréntah jeung hak administrator jeung asupkeun:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Dimana kami nunjukkeun FQDN pfSense kami, pastikeun pikeun hormat kasus, dina parameter mapuser kami asupkeun akun domain kami sareng kecap akses na, sareng dina crypto kami milih metode enkripsi, kuring nganggo rc4 pikeun digawé sareng dina widang -out kami pilih dimana urang bakal ngirim file konci siap-dijieun urang.
Saatos suksés nyiptakeun file konci, kami bakal ngirim ka pfSense kami, kuring dianggo Jauh pikeun ieu, tapi anjeun ogé tiasa ngalakukeun ieu nganggo paréntah, putty atanapi ngalangkungan antarmuka wéb pfSense dina bagian "DiagnosticsCommand Line".
Ayeuna urang tiasa ngédit nyiptakeun /etc/krb5.conf
dimana /etc/krb5.keytab mangrupikeun file konci anu kami damel.
Pastikeun pikeun pariksa operasi Kerberos nganggo kinit; upami éta henteu jalan, henteu aya gunana pikeun maca deui.
Ngonpigurasikeun auténtikasi cumi sareng henteu daptar aksés auténtikasi
Sanggeus suksés ngonpigurasikeun Kerberos, kami bakal ngagantelkeun kana Cumi kami.
Jang ngalampahkeun ieu, buka ServicesSquid Proxy Server sareng dina setélan utama, angkat ka handap, di dinya urang bakal mendakan tombol "Setélan Lanjutan".
Dina widang Pilihan Adat (Saméméh Auth), lebetkeun:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authdimana auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth - milih helper auténtikasi Kerberos anu urang peryogikeun.
konci -s kalawan harti GSS_C_NO_NAME - nangtukeun pamakéan akun mana wae tina file konci.
konci -k kalawan harti /usr/local/etc/squid/squid.keytab - nangtukeun ngagunakeun file keytab husus ieu. Dina kasus kuring, ieu mangrupikeun file keytab anu sami anu kami hasilkeun, anu ku kuring tiron kana diréktori /usr/local/etc/squid/ sareng diganti namina kusabab cumi-cumi henteu hoyong janten réréncangan sareng diréktori éta, sigana kuring henteu ngagaduhan. cukup hak.
konci -t kalawan harti - teu nanaon - disables requests cyclical ka controller domain, nu greatly ngurangan beban dina eta lamun boga leuwih ti 50 pamaké.
Salila tés, anjeun ogé tiasa nambihan saklar -d - nyaéta diagnostik, langkung seueur log bakal ditingalikeun.
auth_param negotiate barudak 1000 - nangtukeun sabaraha prosés otorisasina sakaligus bisa dibuka
auth_param negotiate keep_alive on - nyegah sambungan tina keur dipegatkeun bari polling ranté otorisasina
acl auth proxy_auth DIPERLUKAN - nyieun sarta merlukeun daptar kontrol aksés nu ngawengku pamaké otorisasi
acl nonauth dstdomain "/etc/squid/nonauth.txt" - kami ngawartosan cumi-cumi ngeunaan daptar aksés nonauth, anu ngandung domain tujuan anu sadayana bakal diidinan aksés. Urang nyieun file sorangan, sarta asupkeun domain di jerona dina format nu
.whatsapp.com
.whatsapp.net
Whatsapp dianggo salaku conto pikeun alesan - éta pisan picky ngeunaan proxies auténtikasi sarta moal jalan mun teu diwenangkeun saméméh auténtikasi.
http_access ngidinan nonauth — idinan aksés ka daptar ieu kanggo sadayana
http_aksés nolak !auth - urang nyaram aksés ka situs séjén pikeun pamaké nu teu sah
http_access ngidinan auth - ngidinan aksés ka pamaké otorisasi.
Éta waé, Cumi-cumi sorangan dikonpigurasi, ayeuna waktuna pikeun ngamimitian nyaring ku grup.
Nyetél SquidGuard
Pindah ka ServicesSquidGuard Proxy Filter.
Dina Pilihan LDAP kami ngasupkeun wincik akun kami dipaké pikeun auténtikasi Kerberos, tapi dina format kieu:
CN=pfsense,OU=service-accounts,DC=domain,DC=localUpami aya spasi atanapi karakter non-Latin, sakabéh éntri ieu kudu diapit ku tanda petik tunggal atawa ganda:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Salajengna, pastikeun pikeun pariksa kotak ieu:
Pikeun motong DOMAINpfsense teu perlu .LOKAL nu sakabéh sistem sensitip pisan.
Ayeuna hayu urang buka Grup Acl sarta meungkeut grup aksés domain urang, abdi nganggo ngaran basajan kawas group_0, group_1, jsb nepi ka 3, dimana 3 hartina aksés ngan ka daptar bodas, sarta 0 hartina sagalana mungkin.
Grup ieu dikaitkeun saperti kieu:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))urang nyimpen grup urang, buka Times, aya kuring nyieun hiji gap nu hartina bakal salawasna dianggo, ayeuna urang buka Target Kategori sarta nyieun daptar dina kawijaksanaan urang, sanggeus nyieun daptar urang balik deui ka grup urang jeung dina grup urang ngagunakeun tombol. pikeun milih anu tiasa angkat ka mana sareng saha anu henteu tiasa angkat ka mana .
LightSquid jeung sqstat
Upami salami prosés pangaturan kami milih loopback dina setélan cumi-cumi sareng muka kamampuan pikeun ngaksés 7445 dina firewall boh dina jaringan kami sareng dina pfSense sorangan, teras nalika urang angkat ka DiagnosticsSquid Proxy Reports kami tiasa kalayan gampang muka sqstat sareng Lighsquid, pikeun dimungkinkeun kami bakal butuh Aya anjeun bisa datang nepi ka login sareng kecap akses, jeung anjeun ogé tiasa milih desain a.
parantosan
pfSense mangrupikeun alat anu kuat anu tiasa ngalakukeun seueur hal - lalu lintas proxy sareng ngadalikeun aksés pangguna kana Internét ngan ukur sajumlah pungsionalitasna, tapi, dina perusahaan anu ngagaduhan 500 mesin, éta ngarengsekeun masalah sareng ngamungkinkeun urang ngahemat. dina meuli proxy.
Abdi ngarepkeun tulisan ieu bakal ngabantosan batur ngabéréskeun masalah anu cukup relevan pikeun usaha sedeng sareng ageung.
sumber: www.habr.com