pfSense+Squid yenye uchujaji wa https + kuingia kwa mtu Mmoja (SSO) na uchujaji wa kikundi cha Active Directory
Mandhari fupi
Kampuni ilihitaji kutekeleza seva ya proksi yenye uwezo wa kuchuja ufikiaji wa tovuti (ikiwa ni pamoja na https) na vikundi kutoka AD ili watumiaji wasiingize manenosiri yoyote ya ziada, na iweze kusimamiwa kutoka kwa kiolesura cha wavuti. Maombi mazuri, sivyo?
Jibu sahihi litakuwa kununua suluhisho kama vile Kerio Control au UserGate, lakini kama kawaida hakuna pesa, lakini kuna hitaji.
Hapa ndipo Squid nzuri ya zamani inakuja kuwaokoa, lakini tena - ninaweza kupata wapi kiolesura cha wavuti? SAMS2? Kimepitwa na wakati kimaadili. Hapa ndipo pfSense inakuja kuwaokoa.
Description
Makala haya yataelezea jinsi ya kusanidi seva ya proksi ya Squid.
Kerberos itatumika kuidhinisha watumiaji.
SquidGuard itatumika kuchuja kulingana na vikundi vya kikoa.
Lightsquid, sqstat na mifumo ya ufuatiliaji ya ndani ya pfSense itatumika kwa ufuatiliaji.
Pia itasuluhisha tatizo la kawaida linalohusishwa na kuanzishwa kwa teknolojia ya kuingia kwenye akaunti moja (SSO), yaani programu zinazojaribu kuvinjari mtandao chini ya akaunti ya dira na akaunti ya mfumo wao.
Inajiandaa kusakinisha Squid
pfSense itachukuliwa kama msingi,
Ndani ambayo tunapanga uthibitishaji kwenye ngome yenyewe kwa kutumia akaunti za kikoa.
Muhimu sana!
Kabla ya kuanza kusakinisha Squid, unahitaji kusanidi seva ya DNS katika pfsense, tengeneza rekodi A na rekodi ya PTR kwa ajili yake kwenye seva yetu ya DNS, na usanidi NTP ili wakati usitofautiane na wakati kwenye kidhibiti cha kikoa.
Na kwenye mtandao wako, toa uwezo wa kiolesura cha WAN cha pfSense kwenda kwenye Mtandao, na watumiaji kwenye mtandao wa ndani kuunganishwa kwenye kiolesura cha LAN, ikiwa ni pamoja na kwenye bandari 7445 na 3128 (katika kesi yangu 8080).
Yote ni tayari? Je, muunganisho wa LDAP umeanzishwa na kikoa kwa uidhinishaji kwenye pfSense na saa imelandanishwa? Kubwa. Ni wakati wa kuanza mchakato kuu.
Ufungaji na usanidi wa awali
Squid, SquidGuard na LightSquid zitasakinishwa kutoka kwa kidhibiti kifurushi cha pfSense katika sehemu ya "Kidhibiti cha Mfumo / Kifurushi".
Baada ya usakinishaji uliofanikiwa, nenda kwa "Huduma / Seva ya Wakala wa Squid /" na kwanza kabisa, kwenye kichupo cha Cache ya Mitaa, sanidi caching, niliweka kila kitu kwa 0, kwa sababu Sioni uhakika mkubwa katika tovuti za caching, vivinjari hufanya kazi nzuri na hii. Baada ya kuweka, bonyeza kitufe cha "Hifadhi" chini ya skrini na hii itatupa fursa ya kufanya mipangilio ya msingi ya wakala.
Mipangilio kuu ni kama ifuatavyo:
Bandari chaguo-msingi ni 3128, lakini napendelea kutumia 8080.
Vigezo vilivyochaguliwa katika kichupo cha Kiolesura cha Wakala huamua ni miingiliano ipi ya seva mbadala itasikiliza. Kwa kuwa ngome hii imeundwa kwa njia ambayo inaonekana kwenye Mtandao kama kiolesura cha WAN, ingawa LAN na WAN zinaweza kuwa kwenye subnet moja ya ndani, ninapendekeza kutumia LAN kwa seva mbadala.
Loopback inahitajika kwa sqstat kufanya kazi.
Hapa chini utapata mipangilio ya seva mbadala ya Uwazi (ya uwazi), pamoja na Kichujio cha SSL, lakini hatuzihitaji, seva mbadala yetu haitakuwa wazi, na kwa uchujaji wa https hatutachukua nafasi ya cheti (tuna mtiririko wa hati, benki. wateja, nk), hebu tuangalie kupeana mikono.
Katika hatua hii, tunahitaji kwenda kwa mtawala wetu wa kikoa, kuunda akaunti ya uthibitishaji ndani yake (unaweza pia kutumia ile iliyosanidiwa kwa uthibitishaji kwenye pfSense yenyewe). Hapa kuna jambo muhimu sana - ikiwa unakusudia kutumia usimbaji fiche wa AES128 au AES256 - angalia visanduku vinavyofaa katika mipangilio ya akaunti yako.
Ikiwa kikoa chako ni msitu changamano na idadi kubwa ya saraka au kikoa chako ni .local, basi INAWEZEKANA, lakini si hakika, kwamba itabidi utumie nenosiri rahisi kwa akaunti hii, hitilafu inajulikana, lakini inaweza tu isifanye kazi na nenosiri ngumu, unahitaji kuangalia kesi fulani.
Baada ya hayo, tunaunda faili muhimu kwa kerberos, fungua amri ya haraka na haki za msimamizi kwenye mtawala wa kikoa na uingie:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Ambapo tunaonyesha FQDN pfSense yetu, hakikisha kuheshimu kesi, ingiza akaunti yetu ya kikoa na nenosiri lake kwenye parameta ya mapuser, na kwa crypto tunachagua njia ya usimbuaji, nilitumia rc4 kwa kazi na kwenye uwanja wa nje tunachagua mahali tunapochagua. itatuma faili yetu ya ufunguo iliyokamilishwa.
Baada ya kuunda faili muhimu kwa mafanikio, tutaituma kwa pfSense yetu, nilitumia Mbali kwa hili, lakini unaweza pia kufanya hivyo kwa amri na putty au kupitia interface ya wavuti ya pfSense katika sehemu ya "Diagnostics Command Line".
Sasa tunaweza kuhariri/kuunda /etc/krb5.conf
ambapo /etc/krb5.keytab ni faili muhimu tuliyounda.
Hakikisha uangalie uendeshaji wa kerberos kwa kutumia kinit, ikiwa haifanyi kazi, hakuna maana katika kusoma zaidi.
Inasanidi Uthibitishaji wa Squid na Orodha ya Ufikiaji bila Uthibitishaji
Baada ya kusanidi kerberos kwa ufanisi, tutaifunga kwa Squid yetu.
Ili kufanya hivyo, nenda kwa Seva ya Wakala wa ServicesSquid na katika mipangilio kuu nenda chini kabisa, huko tutapata kitufe cha "Mipangilio ya hali ya juu".
Katika sehemu ya Chaguzi Maalum (Kabla ya Uthibitishaji), ingiza:
#Π₯Π΅Π»ΠΏΠ΅ΡΡ
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Π‘ΠΏΠΈΡΠΊΠΈ Π΄ΠΎΡΡΡΠΏΠ°
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Π Π°Π·ΡΠ΅ΡΠ΅Π½ΠΈΡ
http_access allow nonauth
http_access deny !auth
http_access allow authwapi auth_param negotiate mpango /usr/local/libexec/squid/negotiate_kerberos_auth - huchagua msaidizi wa uthibitishaji wa kerberos tunayohitaji.
Muhimu -s yenye maana GSS_C_NO_NAME - inafafanua matumizi ya akaunti yoyote kutoka kwa faili muhimu.
Muhimu -k yenye maana /usr/local/etc/squid/squid.keytab - huamua kutumia faili hii ya kichupo maalum. Kwa upande wangu, hii ni faili ile ile ya kichupo ambayo tuliunda, ambayo nilinakili kwa saraka /usr/local/etc/squid/ na kuibadilisha jina, kwa sababu ngisi hakutaka kuwa marafiki na saraka hiyo, inaonekana hakukuwa na haki za kutosha.
Muhimu -t yenye maana - hakuna - inalemaza maombi ya mzunguko kwa mtawala wa kikoa, ambayo hupunguza sana mzigo juu yake ikiwa una watumiaji zaidi ya 50.
Kwa muda wa mtihani, unaweza pia kuongeza -d ufunguo - yaani uchunguzi, kumbukumbu zaidi zitaonyeshwa.
auth_param kujadili watoto 1000 - huamua ni michakato ngapi ya idhini ya wakati mmoja inaweza kuendeshwa
auth_param negotiate keep_alive on - hairuhusu kuvunja uhusiano wakati wa upigaji kura wa mlolongo wa idhini
acl auth proxy_auth INAHITAJIKA - huunda na kuhitaji orodha ya udhibiti wa ufikiaji ambayo inajumuisha watumiaji ambao wamepitisha idhini
acl nonauth dstdomain "/etc/squid/nonauth.txt" - tunafahamisha ngisi kuhusu orodha ya ufikiaji isiyo ya idhini, ambayo ina vikoa vya marudio, ambayo kila mtu ataruhusiwa kufikia kila wakati. Tunaunda faili yenyewe, na ndani yake tunaingiza vikoa katika muundo
.whatsapp.com
.whatsapp.net
Whatsapp haitumiki bure kama mfano - ni ya kuchagua sana kuhusu proksi iliyo na uthibitishaji na haitafanya kazi ikiwa hairuhusiwi kabla ya uthibitishaji.
http_access ruhusu nonauth - ruhusu ufikiaji wa orodha hii kwa kila mtu
http_access kataa !auth - tunakataza ufikiaji wa watumiaji wasioidhinishwa kwa tovuti zingine
http_access ruhusu auth - ruhusu ufikiaji wa watumiaji walioidhinishwa.
Hiyo ndiyo yote, squid yenyewe imeundwa, sasa ni wakati wa kuanza kuchuja kwa vikundi.
Inasanidi SquidGuard
Nenda kwa Kichujio cha Wakala wa ServicesSquidGuard.
Katika Chaguo za LDAP tunaingiza data ya akaunti yetu inayotumiwa kwa uthibitishaji wa kerberos, lakini katika umbizo lifuatalo:
CN=pfsense,OU=service-accounts,DC=domain,DC=localIkiwa kuna nafasi au herufi zisizo za Kilatini, ingizo hili lote linapaswa kuambatanishwa kwa nukuu moja au mbili:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Ifuatayo, hakikisha kuwa umechagua visanduku hivi:
Ili kukata DOMAINpfsense isiyo ya lazima .MTAA ambao mfumo mzima ni nyeti sana.
Sasa tunaenda kwa Group Acl na kufunga vikundi vyetu vya ufikiaji wa kikoa, mimi hutumia majina rahisi kama group_0, group_1, n.k. hadi 3, ambapo 3 ni ufikiaji wa orodha nyeupe pekee, na 0 - kila kitu kinawezekana.
Vikundi vimeunganishwa kama ifuatavyo:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))save group letu nenda Times huko nilitengeneza pengo moja maana litafanya kazi sasa nenda kwenye Target Categories na utengeneze list kwa utashi wetu baada ya kutengeneza list tunarudi kwenye group zetu na ndani ya group tumia vitufe kuchagua. nani anaweza kwenda wapi, na ni nani asiyeweza kwenda wapi.
LightSquid na sqstat
Ikiwa wakati wa mchakato wa usanidi tulichagua kitanzi katika mipangilio ya ngisi na kufungua uwezo wa kufikia 7445 kwenye firewall kwenye mtandao wetu na kwenye pfSense yenyewe, basi tunapoenda kwenye Utambuzi wa Ripoti za Wakala wa Squid, tunaweza kufungua kwa urahisi sqstat na Lighsquid, kwa ajili ya mwisho tutahitaji Katika sehemu moja, kuja na jina la mtumiaji na nenosiri, na pia kuna fursa ya kuchagua kubuni.
Kukamilika
pfSense ni zana yenye nguvu sana ambayo inaweza kufanya mambo mengi - uwakilishi wa trafiki na udhibiti wa ufikiaji wa watumiaji kwenye Mtandao ni sehemu tu ya utendakazi wote, walakini, katika biashara iliyo na mashine 500, hii ilisuluhisha shida na kuokolewa. kununua wakala.
Natumai nakala hii itasaidia mtu kutatua shida ambayo inafaa kabisa kwa biashara za kati na kubwa.
Chanzo: mapenzi.com