pfSense+Squid бо филтркунии https + воридшавии ягона (SSO) бо филтри гурӯҳии Active Directory
Маълумоти мухтасар
Ба ширкат лозим буд, ки сервери проксиро бо қобилияти филтр кардани дастрасӣ ба сайтҳо (аз ҷумла https) аз рӯи гурӯҳҳо аз AD амалӣ кунад, то корбарон ягон паролҳои иловагӣ ворид накунанд ва онҳоро аз интерфейси веб идора кунанд. Барномаи хуб, ҳамин тавр не?
Ҷавоби дуруст ин харидани қарорҳо ба монанди Kerio Control ё UserGate хоҳад буд, аммо чун ҳамеша пул нест, аммо ниёз вуҷуд дорад.
Ин аст, ки калмари хуби кӯҳна ба наҷот меояд, аммо боз - аз куҷо ман метавонам интерфейси веб гирам? SAMS2? Аз ҷиҳати ахлоқӣ кӯҳна шудааст. Дар ин ҷо pfSense ба наҷот меояд.
Шарҳи
Ин мақола тасвир мекунад, ки чӣ тавр ба танзим даровардани сервери прокси Squid.
Kerberos барои иҷозати корбарон истифода мешавад.
SquidGuard барои филтр аз рӯи гурӯҳҳои домен истифода мешавад.
Барои мониторинг системаҳои назорати дохилии Lightsquid, sqstat ва pfSense истифода мешаванд.
Он инчунин мушкилоти умумиеро, ки бо ҷорӣ намудани технологияи ягонаи воридшавӣ (SSO) алоқаманд аст, ҳал хоҳад кард, яъне барномаҳое, ки кӯшиш мекунанд дар зери ҳисоби қутбнамо бо ҳисоби системаи худ дар Интернет сайру ҷӯянд.
Омодагӣ ба насб кардани Squid
pfSense ҳамчун асос гирифта мешавад,
Дар дохили он мо аутентификатсияро дар худи девор бо истифода аз ҳисобҳои домен ташкил мекунем.
Хеле муҳим!
Пеш аз оғози насби Squid, шумо бояд сервери DNS-ро дар pfsense танзим кунед, сабти A ва сабти PTR-ро барои он дар сервери DNS мо созед ва NTP-ро танзим кунед, то вақт аз вақти контроллери домен фарқ накунад.
Ва дар шабакаи шумо, қобилияти ба Интернет рафтани интерфейси WAN-и pfSense ва корбарони шабакаи маҳаллӣ барои пайваст шудан ба интерфейси LAN, аз ҷумла дар портҳои 7445 ва 3128 (дар ҳолати ман 8080) таъмин кунед.
Ҳама омода аст? Оё пайвасти LDAP бо домен барои авторизатсия дар pfSense муқаррар шудааст ва вақт ҳамоҳанг карда шудааст? бузург. Вақти он расидааст, ки раванди асосӣ оғоз шавад.
Насбкунӣ ва конфигуратсияи пешакӣ
Squid, SquidGuard ва LightSquid аз менеҷери бастаи pfSense дар бахши "Система / Менеҷери бастаҳо" насб карда мешаванд.
Пас аз насби бомуваффақият, ба "Хизматҳо / Squid Proxy server /" гузаред ва пеш аз ҳама, дар ҷадвали кэши маҳаллӣ, кэшро танзим кунед, ман ҳама чизро ба 0 муқаррар кардам, зеро Ман дар кэшкунии сайтҳо нуқтаи зиёд намебинам, браузерҳо бо ин кори хуб мекунанд. Пас аз танзим, тугмаи "Захира" -ро дар поёни экран пахш кунед ва ин ба мо имкон медиҳад, ки танзимоти асосии проксиро созем.
Танзимоти асосӣ инҳоянд:
Порти пешфарз 3128 аст, аммо ман 8080-ро истифода барам.
Параметрҳои интихобшуда дар ҷадвали Интерфейси прокси муайян мекунанд, ки сервери проксии мо кадом интерфейсҳоро гӯш мекунад. Азбаски ин брандмауэр тавре сохта шудааст, ки он дар Интернет ҳамчун интерфейси WAN ба назар мерасад, гарчанде ки LAN ва WAN метавонанд дар як зершабакаи маҳаллӣ бошанд, ман тавсия медиҳам, ки LAN-ро барои прокси истифода барем.
Барои кор кардани sqstat, бозгардонидан лозим аст.
Дар зер шумо танзимоти прокси шаффоф (шаффоф) ва инчунин Филтри SSL-ро хоҳед ёфт, аммо ба мо лозим нест, прокси мо шаффоф нахоҳад буд ва барои филтркунии https мо сертификатро иваз намекунем (мо ҷараёни ҳуҷҷат, бонк дорем) мизочон ва гайра), биёед танхо ба дастфишурй назар кунем.
Дар ин марҳила, мо бояд ба контролери домени худ равем ва дар он ҳисоби аутентификатсия эҷод кунем (шумо метавонед онеро, ки барои аутентификатсия дар худи pfSense танзим шудааст, истифода баред). Ин як омили хеле муҳим аст - агар шумо мехоҳед рамзгузории AES128 ё AES256-ро истифода баред - қуттиҳои мувофиқро дар танзимоти ҳисоби худ санҷед.
Агар домени шумо як ҷангали хеле мураккаб бо шумораи зиёди феҳристҳо бошад ё домени шумо .local бошад, пас ин ИМКОН аст, аммо мутмаин нест, ки шумо бояд пароли оддиро барои ин ҳисоб истифода баред, хато маълум аст, аммо он метавонад танҳо бо пароли мураккаб кор накунад, шумо бояд як парвандаи мушаххасро тафтиш кунед.
Пас аз ин, мо як файли калидӣ барои kerberos эҷод мекунем, сатри фармонро бо ҳуқуқи администратор дар контролери домен кушоем ва ворид кунед:
# ktpass -princ HTTP/[email protected] -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:keytabsPROXY.keytab
Дар он ҷое ки мо FQDN pfSense-и худро нишон медиҳем, ҳатман ба парванда эҳтиром гузоред, ҳисоби домени мо ва пароли онро дар параметри mapuser ворид кунед ва дар крипто мо усули рамзгузориро интихоб мекунем, ман rc4-ро барои кор истифода мебарам ва дар майдони -out мо куҷоеро интихоб мекунем файли калидии тайёри моро мефиристад.
Пас аз бомуваффақият сохтани файли калидӣ, мо онро ба pfSense-и худ мефиристем, ман барои ин Far-ро истифода кардам, аммо шумо инчунин метавонед ин корро ҳам бо фармонҳо ва ҳам putty ё тавассути веб-интерфейси pfSense дар бахши "Сатри фармони ташхис" иҷро кунед.
Акнун мо метавонем /etc/krb5.conf-ро таҳрир/эҷод кунем
ки дар он /etc/krb5.keytab файли калидӣ мебошад, ки мо офаридаем.
Боварӣ ҳосил кунед, ки кори kerberos-ро бо истифодаи kinit тафтиш кунед, агар он кор накунад, хондани минбаъда ҳеҷ маъно надорад.
Танзими аутентификатсияи Squid ва Рӯйхати дастрасӣ бе аутентификатсия
Пас аз бомуваффақият танзим кардани kerberos, мо онро ба Squid худ пайваст мекунем.
Барои ин, ба ServicesSquid Proxy Server гузаред ва дар танзимоти асосӣ ба поёни поён равед, дар он ҷо тугмаи "Танзимоти пешрафта" -ро пайдо мекунем.
Дар майдони Имконоти фармоишӣ (Пеш аз аут) ворид кунед:
#Хелперы
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
#Списки доступа
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
#Разрешения
http_access allow nonauth
http_access deny !auth
http_access allow authдар куҷо Барномаи гуфтушуниди auth_param /usr/local/libexec/squid/negotiate_kerberos_auth - ёвари kerberos аутентификатсияро интихоб мекунад, ки ба мо лозим аст.
Калидвожа -s бо маъно GSS_C_NO_NAME — истифодаи ҳама гуна ҳисобро аз файли калидӣ муайян мекунад.
Калидвожа -k бо маъно /usr/local/etc/squid/squid.keytab - истифодаи ин файли клавиатураи мушаххасро муайян мекунад. Дар ҳолати ман, ин ҳамон файли клавиатураест, ки мо офаридаем, ки ман онро ба директорияи /usr/local/etc/squid/ нусхабардорӣ кардам ва номи онро иваз кардам, зеро калмар намехост бо он директория дӯст бошад, зоҳиран вуҷуд надоштанд. ҳуқуқҳои кофӣ.
Калидвожа -t бо маъно - ҳеҷ - дархостҳои даврӣ ба контролери доменро ғайрифаъол мекунад, ки агар шумо зиёда аз 50 корбар дошта бошед, сарбории онро хеле кам мекунад.
Дар давоми санҷиш, шумо инчунин метавонед калиди -d -ро илова кунед, яъне ташхис, гузоришҳои бештар нишон дода мешаванд.
auth_param музокироти кӯдакон 1000 - муайян мекунад, ки чӣ қадар равандҳои авторизатсияро ҳамзамон иҷро кардан мумкин аст
auth_param гуфтушунид keep_alive оид ба — хангоми овоздихии занчири авторитет ба канда шудани алока рох намедихад
acl auth proxy_auth ДАРКОР - рӯйхати назорати дастрасиро эҷод ва талаб мекунад, ки корбаронеро дар бар мегирад, ки аз иҷозат гузаштаанд
acl nonauth dstdomain "/etc/squid/nonauth.txt" - мо ба калмар дар бораи рӯйхати дастрасии ғайримуқаррарӣ, ки доменҳои таъинотро дар бар мегирад, огоҳ мекунем, ки ба онҳо ҳамеша иҷозати дастрасӣ ба ҳама дода мешавад. Мо худи файлро эҷод мекунем ва дар дохили он доменҳоро дар формат ворид мекунем
.whatsapp.com
.whatsapp.net
Whatsapp беҳуда ҳамчун намуна истифода намешавад - он дар бораи прокси бо аутентификатсия хеле ҷолиб аст ва агар он пеш аз аутентификатсия иҷозат дода нашавад, кор намекунад.
http_access имкон медиҳад nonauth - ба ҳама дастрасӣ ба ин рӯйхатро иҷозат диҳед
http_access рад !auth - мо дастрасиро ба корбарони беиҷозат ба сайтҳои дигар манъ мекунем
http_access иҷозати аутентиро - иҷозати дастрасӣ ба корбарони ваколатдор.
Ин аст, худи калмар танзим карда шудааст, ҳоло вақти он расидааст, ки филтр аз рӯи гурӯҳҳоро оғоз кунед.
Танзими SquidGuard
Ба филтри прокси ServicesSquidGuard гузаред.
Дар имконоти LDAP мо маълумоти ҳисоби худро, ки барои аутентификатсияи kerberos истифода мешавад, ворид мекунем, аммо дар формати зерин:
CN=pfsense,OU=service-accounts,DC=domain,DC=localАгар фосилаҳо ё ҳарфҳои лотинӣ вуҷуд надошта бошанд, тамоми ин вуруд бояд ба нохунакҳои ягона ё дугона дохил карда шавад:
'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"Баъдан, ҳатман ин қуттиҳоро тафтиш кунед:
Барои буридани DOMAINpfsense нолозим .МАХАЛЛЙ, ки тамоми система ба он хеле хассос аст.
Ҳоло мо ба Group Acl меравем ва гурӯҳҳои дастрасии домени худро мепайвандам, ман номҳои оддиро ба мисли group_0, group_1 ва ғайра то 3 истифода мебарам, ки 3 танҳо ба рӯйхати сафед дастрасӣ дорад ва 0 - ҳама чиз имконпазир аст.
Гурӯҳҳо ба таври зерин пайванданд:
ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))гурӯҳи худро захира кунед, ба Times равед, ман як холигоҳро эҷод кардам, ки маънои ҳамеша кор карданро дорад, ҳоло ба категорияҳои Ҳадафҳо равед ва рӯйхатҳоро бо ихтиёри худ созед, пас аз сохтани рӯйхатҳо мо ба гурӯҳҳои худ бармегардем ва дар дохили гурӯҳ бо тугмаҳо интихоб мекунем, ки кӣ метавонад равад дар куҷо ва кй наметавонад дар куҷо.
LightSquid ва sqstat
Агар дар ҷараёни конфигуратсия мо дар танзимоти squid loopback интихоб карда бошем ва имкони дастрасӣ ба 7445-ро дар брандмауэр ҳам дар шабакаи мо ва ҳам дар худи pfSense кушоем, пас ҳангоми рафтан ба Squid Proxy Reports Diagnostics, мо метавонем ба осонӣ ҳам sqstat ва ҳам Lighsquid -ро кушоем, барои охирин ба мо лозим аст Дар ҳамон ҷо, омад, то бо номи корбар ва парол, ва низ вуҷуд дорад, ки имконияти интихоби тарҳи.
Натиҷа
pfSense як абзори хеле пурқувватест, ки метавонад корҳои зиёдеро иҷро кунад - ҳам проксии трафик ва ҳам назорат аз болои дастрасии корбарон ба Интернет танҳо як қисми тамоми функсияҳо мебошанд, бо вуҷуди ин, дар корхонае, ки 500 мошин дорад, ин мушкилотро ҳал кард ва сарфа кард. харидани прокси.
Ман умедворам, ки ин мақола ба касе кӯмак мекунад, ки мушкилотеро, ки барои корхонаҳои миёна ва калон мувофиқ аст, ҳал кунад.
Манбаъ: will.com