🍗 👨🏻‍🔬 🧛🏾 डोमेन प्रमाणीकरण के साथ उद्यम के लिए मुफ्त प्रॉक्सी सर्वर 📷 👆🏽 🐝

सक्रिय निर्देशिका समूह फ़िल्टरिंग के साथ https फ़िल्टरिंग + सिंगल साइन-ऑन (SSO) तकनीक के साथ pfSense + स्क्वीड

संक्षिप्त पृष्ठभूमि

उद्यम में, AD से समूहों द्वारा साइटों (https सहित) तक पहुंच को फ़िल्टर करने की क्षमता के साथ एक प्रॉक्सी सर्वर को लागू करने की आवश्यकता थी ताकि उपयोगकर्ता किसी भी अतिरिक्त पासवर्ड दर्ज न करें, और इसे वेब इंटरफ़ेस से प्रशासित किया जा सकता है। एक बुरा अनुप्रयोग नहीं है, क्या यह है?

सही उत्तर केरो कंट्रोल या यूजरगेट जैसे समाधान खरीदने के लिए होगा, लेकिन हमेशा की तरह पैसा नहीं है, लेकिन जरूरत है।

फिर अच्छा पुराना स्क्वीड हमारे बचाव के लिए आता है, लेकिन फिर - फिर वेब इंटरफ़ेस कहाँ से प्राप्त करें? SAMS2? नैतिक रूप से अप्रचलित। यहाँ pfSense बचाव के लिए आता है।

विवरण

यह आलेख वर्णन करेगा कि स्क्वीड प्रॉक्सी सर्वर को कैसे कॉन्फ़िगर किया जाए।
उपयोगकर्ताओं को अधिकृत करने के लिए Kerberos का उपयोग किया जाएगा।
स्क्वीडगार्ड का उपयोग डोमेन समूहों द्वारा फ़िल्टर करने के लिए किया जाएगा।

निगरानी के लिए, लाइटस्क्विड, स्क्वैस्टैट और pfSense आंतरिक निगरानी प्रणाली का उपयोग किया जाएगा।
यह एकल साइन-ऑन (SSO) तकनीक की शुरुआत से जुड़ी एक आम समस्या को भी हल करेगा, अर्थात् ऐसे एप्लिकेशन जो कंप्यूटर खाते के तहत ऑनलाइन जाने की कोशिश करते हैं।

स्क्वीड स्थापित करने की तैयारी

आधार को pfSense, इंस्टॉलेशन इंस्ट्रक्शन लिया जाएगा ।

जिसके अंदर हम डोमेन खातों का उपयोग करके स्वयं फ़ायरवॉल को प्रमाणीकरण व्यवस्थित करते हैं। अनुदेश

बहोत महत्वपूर्ण!

स्क्विड की स्थापना शुरू करने से पहले, आपको DNS सर्वर को pfsense में कॉन्फ़िगर करने की आवश्यकता है, हमारे DNS सर्वर पर इसके लिए एक ए और पीटीआर रिकॉर्ड बनाएं और एनटीपी को कॉन्फ़िगर करें ताकि समय डोमेन नियंत्रक पर समय से भिन्न न हो।

और अपने नेटवर्क पर, इंटरनेट पर जाने के अवसर के साथ pfSense के WAN इंटरफ़ेस प्रदान करें, और LAN इंटरफ़ेस से कनेक्ट करने के लिए स्थानीय नेटवर्क पर उपयोगकर्ताओं को पोर्ट 7445 और 3128 (मेरे मामले में 8080) सहित।

सब कुछ तैयार है? क्या pfSense स्थापित और समय सिंक्रनाइज़ करने पर प्राधिकरण के लिए डोमेन के साथ LDAP कनेक्शन है? ठीक। यह मुख्य प्रक्रिया शुरू करने का समय है।

स्थापना और पूर्व निर्धारित

"सिस्टम / पैकेज मैनेजर" सेक्शन में pfSense पैकेज मैनेजर से स्क्वीड, स्क्विडगार्ड और लाइटस्क्विड इंस्टॉल करें।

एक सफल स्थापना के बाद, "सेवा / स्क्वीड प्रॉक्सी सर्वर" पर जाएं और सबसे पहले, स्थानीय कैश टैब में, कैशिंग कॉन्फ़िगर करें, मैंने सब कुछ 0 पर सेट किया, क्योंकि मैं कैशिंग साइटों में बहुत अधिक नहीं देखता, और ब्राउज़र इसके साथ ठीक करते हैं। सेटिंग्स के बाद, स्क्रीन के निचले भाग में "सहेजें" बटन पर क्लिक करें और यह हमें मूल प्रॉक्सी सेटिंग्स बनाने का अवसर देगा।

मुख्य सेटिंग्स निम्नानुसार हैं:

डिफ़ॉल्ट पोर्ट 3128 है, लेकिन मैं 8080 का उपयोग करना पसंद करता हूं।

प्रॉक्सी इंटरफ़ेस टैब में चयनित पैरामीटर यह निर्धारित करते हैं कि हमारे प्रॉक्सी सर्वर किस इंटरफेस को सुनेंगे। चूंकि यह फ़ायरवॉल इस तरह से डिज़ाइन किया गया है कि यह WAN इंटरफ़ेस के साथ इंटरनेट को देखता है, भले ही LAN और WAN एक ही स्थानीय सबनेट में हो, मैं प्रॉक्सी के लिए LAN का उपयोग करने की सलाह देता हूं।

काम करने के लिए स्कूप के लिए ल्यूपबेक की जरूरत है।

नीचे आपको ट्रांसपेरेंट (पारदर्शी) प्रॉक्सी के साथ-साथ एसएसएल फ़िल्टर की सेटिंग्स भी मिलेंगी, लेकिन हमें उनकी ज़रूरत नहीं है, हमारा प्रॉक्सी पारदर्शी नहीं होगा, और https फ़िल्टर करने के लिए हम प्रमाणपत्र प्रतिस्थापन (हमारे पास दस्तावेज़ प्रवाह, बैंक क्लाइंट आदि) के साथ सौदा नहीं करेंगे। लेकिन सिर्फ हाथ मिलाना देखो।

इस स्तर पर, हमें अपने डोमेन नियंत्रक पर जाने की जरूरत है, प्रमाणीकरण के लिए इसमें एक खाता बनाएं (आप उसी का उपयोग कर सकते हैं जो स्वयं pfSense पर प्रमाणीकरण के लिए कॉन्फ़िगर किया गया है)। यह एक बहुत ही महत्वपूर्ण कारक है - यदि आप एईएस128 या एईएस 256 एन्क्रिप्शन का उपयोग करने का इरादा रखते हैं, तो खाता सेटिंग्स में उपयुक्त बॉक्स की जांच करें।

यदि आपका डोमेन बहुत अधिक संख्या में निर्देशिकाओं या आपके .local डोमेन के साथ एक बहुत ही जटिल वन है, तो यह POSSIBLE है, लेकिन वास्तव में नहीं, आपको इस खाते के लिए एक सरल पासवर्ड का उपयोग करना होगा, जो बग से जाना जाता है, लेकिन यह सिर्फ एक जटिल पासवर्ड के साथ काम नहीं कर सकता है, आपको इसकी आवश्यकता है किसी विशिष्ट मामले पर जाँच करें।

उसके बाद, हम डोमेन नियंत्रक पर, Kerberos के लिए मुख्य फ़ाइल बनाते हैं, व्यवस्थापक अधिकारों के साथ एक कमांड लाइन खोलते हैं और दर्ज करते हैं:

# ktpass -princ HTTP/pfsense.domain.local@DOMAIN.LOCAL -mapuser pfsense -pass 3EYldza1sR -crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} -ptype KRB5_NT_PRINCIPAL -out C:\keytabs\PROXY.keytab

जहां हम अपने FQDN pfSense को निर्दिष्ट करते हैं, मामले का पालन करना सुनिश्चित करें, हमारे डोमेन खाते और उसके पासवर्ड को मापक पैरामीटर में दर्ज करें, और क्रिप्टो में एन्क्रिप्शन विधि का चयन करें, मैंने काम करने के लिए rc4 का उपयोग किया और इन-आउट क्षेत्र में हम जहां हम अपनी तैयार की गई कुंजी फ़ाइल भेजेंगे।
कुंजी फ़ाइल को सफलतापूर्वक बनाने के बाद, हम इसे हमारे pfSense को भेज देंगे, मैंने इसके लिए Far का उपयोग किया था, लेकिन आप इसे कमांड और पोटीन दोनों के साथ, या डायग्नोस्टिक्स \ कमांड लाइन सेक्शन में pfSense वेब इंटरफेस के माध्यम से भी कर सकते हैं।

अब हम \ create /etc/krb5.conf को संपादित कर सकते हैं

जहाँ /etc/krb5.keytab हमारे द्वारा बनाई गई प्रमुख फ़ाइल है।

किर्बिट के साथ केबरोस के संचालन की जांच करना सुनिश्चित करें, अगर यह काम नहीं करता है, तो पढ़ने का कोई मतलब नहीं है।

प्रमाणीकरण के बिना स्क्वीड प्रमाणीकरण और पहुंच सूची कॉन्फ़िगर करें

सफलतापूर्वक kerberos को कॉन्फ़िगर करने के बाद हम इसे हमारे स्क्वीड पर फास्ट कर देंगे।

ऐसा करने के लिए, Services \ Squid Proxy Server पर जाएं और मुख्य सेटिंग्स में बहुत नीचे तक जाएं, वहां हमें "उन्नत सेटिंग्स" बटन मिलेगा।

कस्टम विकल्प (प्रामाणिक से पहले) फ़ील्ड में, दर्ज करें:

#
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
# 
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt" 
# 
http_access allow nonauth 
http_access deny !auth
http_access allow auth

जहाँ schem_param बातचीत कार्यक्रम / usr / स्थानीय / libexec / विद्रूप / बातचीत_करबरोस_आथ - हमें Kerberos प्रमाणीकरण सहायक की आवश्यकता है का चयन करता है। -S स्विच मूल्य के साथ GSS_C_NO_NAME - कुंजी फ़ाइल से किसी भी खाते के उपयोग को परिभाषित करता है। / -Rr/local/etc/squid/squid.keytab - -k के साथ -k स्विच इस कीटैब फ़ाइल के उपयोग को परिभाषित करता है। मेरे मामले में, यह वही की -टैब फाइल है, जिसे हमने बनाया था, जिसे मैंने / usr / लोकल / etc / स्क्वीड / निर्देशिका में कॉपी किया था और इसका नाम बदल दिया था क्योंकि मैं उस निर्देशिका से दोस्ती नहीं करना चाहता था, जाहिर है कि पर्याप्त अधिकार नहीं थे। -T स्विच के साथ -t कोई भी मूल्य नहीं है

- डोमेन नियंत्रक के लिए चक्रीय अनुरोधों को अक्षम करता है, जो 50 से अधिक उपयोगकर्ताओं के होने पर उस पर लोड को बहुत कम कर देता है।
परीक्षण की अवधि के लिए, आप -d स्विच भी जोड़ सकते हैं - अर्थात, निदान, अधिक लॉग प्रदर्शित किए जाएंगे।
auth_param बातचीत बच्चों 1000 - निर्धारित करता है कि कितने एक साथ प्राधिकरण प्रक्रियाओं शुरू किया जा सकता
auth_param पर keep_alive बातचीत - डिस्कनेक्ट करने, जबकि मतदान की अनुमति नहीं है
एसीएल प्रमाणीकरण श्रृंखला प्रमाणन proxy_auth आवश्यक बनाता है और एक अभिगम नियंत्रण सूची है कि उपयोगकर्ताओं को जो बीत चुके हैं शामिल की आवश्यकता है -
एसीएल nonauth dstdomain प्राधिकरण " /etc/squid/nonauth.txt "- हम स्क्वाड को उन गैर-प्रवेश पहुंच सूची के बारे में सूचित करते हैं, जिनमें गंतव्य डोमेन हैं, जिसमें सभी को हमेशा पहुंच की अनुमति होगी। हम फ़ाइल स्वयं बनाते हैं, और इसके अंदर हम प्रारूप में डोमेन दर्ज करते हैं

.whatsapp.com
.whatsapp.net

व्हाट्सएप एक उदाहरण के रूप में उपयोग में नहीं है - यह प्रमाणीकरण प्रॉक्सी के बारे में बहुत उपयुक्त है और यह प्रमाणीकरण के साथ अनुमति नहीं होने पर काम नहीं करेगा।
http_access गैर -अनुमति देता है - इस सूची तक सभी
http_access इनकार करने की
अनुमति दें;
सब कुछ, स्क्वीड स्वयं आपके लिए कॉन्फ़िगर किया गया है, अब समूहों द्वारा फ़िल्टरिंग शुरू करने का समय है।

स्क्वीडगार्ड को कॉन्फ़िगर करें

सेवाएँ \ SquidGuard प्रॉक्सी फ़िल्टर पर जाएँ।

LDAP विकल्पों में हम अपने खाते का विवरण Kerberos प्रमाणीकरण के लिए उपयोग करते हैं, लेकिन निम्न प्रारूप में दर्ज करते हैं:

CN=pfsense,OU=service-accounts,DC=domain,DC=local

यदि रिक्त स्थान और / या गैर-लैटिन वर्ण हैं, तो यह संपूर्ण प्रविष्टि एकल या दोहरे उद्धरणों में संलग्न होनी चाहिए:

'CN=sg,OU=service-accounts,DC=domain,DC=local'
"CN=sg,OU=service-accounts,DC=domain,DC=local"

अगला, इन चेकमार्क को रखना सुनिश्चित करें:

अनावश्यक ~~DOMAIN \~~ pfsense को काटने के लिए ~~डोमेन.LOCAL~~ जिससे पूरा सिस्टम बहुत संवेदनशील है।

अब हम Group Acl में जाते हैं और अपने डोमेन एक्सेस ग्रुप्स को बाइंड करते हैं, मैं ग्रुप 3, 0, Group_1, आदि की भावना में सरल नामों का उपयोग 3 तक करता हूं, जहां 3 केवल व्हाइट लिस्ट तक पहुंच है, और 0 सब कुछ है।

समूह निम्नानुसार संलग्न हैं:

ldapusersearch ldap://dc.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=DOMAIN%2cDC=LOCAL))

हम अपने समूह को बचाते हैं, टाइम्स में जाते हैं, वहां मैंने हमेशा काम करने के लिए एक अंतराल अर्थ बनाया, अब टारगेट श्रेणियाँ पर जाएं और अपनी पसंद के अनुसार सूचियां बनाएं, सूची बनाने के बाद हम अपने समूहों में लौटते हैं और समूह के अंदर हम उन बटनों के साथ चयन करते हैं जो कहां और कहां नहीं। ।

लाइटस्क्विड और स्क्वैस्टैट

यदि सेटअप प्रक्रिया के दौरान हमने स्क्वीड सेटिंग्स में एक लूपबैक का चयन किया और अपने नेटवर्क पर और स्वयं pfSense दोनों में फ़ायरवॉल में 7445 तक पहुंचने की क्षमता खोली, तो जब हम डायग्नोस्टिक्स \ स्क्विड प्रॉक्सी रिपोर्ट पर जाते हैं, तो हम बाद की समस्याओं के बिना चक्रवात और Lighsquid खोल सकते हैं। आपको एक ही स्थान पर एक उपयोगकर्ता नाम और पासवर्ड के साथ आने की आवश्यकता होगी, और डिज़ाइन चुनने का अवसर भी है।

समापन

pfSense एक बहुत शक्तिशाली उपकरण है जो बहुत सारी चीज़ें कर सकता है - इंटरनेट पर ट्रैफ़िक प्रॉक्सी और उपयोगकर्ता अभिगम नियंत्रण दोनों ही सभी कार्यक्षमता का एक अंश है, फिर भी, 500 मशीनों वाले एक उद्यम में यह समस्या हल हो गई और प्रॉक्सी की खरीद पर बचा लिया गया।

मुझे उम्मीद है कि यह लेख किसी समस्या को हल करने में मदद करता है जो मध्यम और बड़े उद्यमों के लिए काफी प्रासंगिक है।

डोमेन प्रमाणीकरण के साथ उद्यम के लिए मुफ्त प्रॉक्सी सर्वर