在pfSense上配置Squid代理OpenLDAP身份验证

欢迎来到有关如何配置pfSense的Squid Proxy OpenLDAP身份验证的教程。 Squid代理支持不同类型的身份验证方法,其中之一是轻量级目录访问协议(LDAP)。 鱿鱼代理认证 确保只有经过身份验证的用户才能访问Internet,这是过滤个人Internet访问的一种方式。

在之前的指南中,我们提供了有关如何在pfSense上安装和设置Squid Proxy的分步教程。以下是链接;

在pfSense上安装和设置Squid代理

在pfSense上配置Squid代理OpenLDAP身份验证

我们假设您已经在pfSense上安装并设置了Squid,如果没有,请按照上面的链接进行设置。

我们还假定已启动并运行OpenLDAP服务器。在我们的例子中,我们使用的是在CentOS 8系统上运行的OpenLDAP服务器。

在CentOS 8上安装和设置OpenLDAP

配置Squid OpenLDAP身份验证设置

首先,登录pfSense Web界面并导航至 服务>鱿鱼代理服务器

请点击 认证方式 标签。在这里定义Squid代理身份验证机制和设置。

定义Squid身份验证常规设置

在“ Squid身份验证常规设置”部分;

  • 选择一种身份验证方法,选择 LDAP 在这种情况下。
  • 输入您的OpenLDAP服务器服务器的IP或主机名
  • 输入用于连接到LDAP服务器的端口。我们选择港口 389 为我们的服务器。
  • 设置将在代理身份验证请求窗口顶部显示的首选字符串。
  • 对于身份验证过程和TTL,我们使用默认值
  • 为不受限制的IP启用Squid代理身份验证
  • 如果您有任何子网要从Squid身份验证中排除,请指定它们。

定义Squid身份验证LDAP设置

在本部分中,您需要定义OpenLDAP身份验证详细信息。

  • 设置LDAP版本,本例中为版本3。
  • 选择通讯方式。在我们的设置中,OpenLDAP配置有TLS支持,因此具有STARTTLS。
  • 在定义的搜索库中设置LDAP绑定/用户DN以及用于搜索LDAP目录的密码。
  • 设置您的OpenLDAP基本域。
  • 输入LDAP用户名DN属性。我们在设置中使用UID。
  • 设置您的LDAP搜索过滤器。

在pfSense上配置Squid代理OpenLDAP身份验证

请点击 保存 完成配置后。

在pfSense上导入OpenLDAP CA证书

请注意,我们选择了STARTTLS作为传输方式。因此,我们需要为可信任的连接安装LDAP服务器的CA证书。

因此,通过SSH登录pfSense控制台。更换 pfsense-IP 与您的pfSense服务器的IP地址

ssh [email protected]

使用OpenSSL命令下载LDAP CA证书。相应地替换IP地址。

openssl s_client -connect 192.168.57.19:636 -showcerts < /dev/null | openssl x509 -text | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

复制证书部分;

-----BEGIN CERTIFICATE-----
MIIDvzCCAqegAwIBAgIUc8imlOVhEej453dXtvacn7krg1MwDQYJKoZIhvcNAQEL
...
...
Igf9K1e9M0Q+j2XEsTeCYVU/v0Jt0kER0+V/NM0IrDOX+6kRz6DNsZrwcMEf5Yvp
ARWZ
-----END CERTIFICATE-----

将证书放在文件中并存储在方便的位置,例如, /usr/local/etc/ssl/

vi /usr/local/etc/ssl/cacert.pem

将上面的证书粘贴到文件中;

-----BEGIN CERTIFICATE-----
MIIDvzCCAqegAwIBAgIUc8imlOVhEej453dXtvacn7krg1MwDQYJKoZIhvcNAQEL
...
...
Igf9K1e9M0Q+j2XEsTeCYVU/v0Jt0kER0+V/NM0IrDOX+6kRz6DNsZrwcMEf5Yvp
ARWZ
-----END CERTIFICATE-----

接下来,打开 /usr/local/etc/openldap/ldap.conf 文件并在下面插入行。

vi /usr/local/etc/openldap/ldap.conf
TLS_CACERT /usr/local/etc/ssl/cacert.pem
TLS_REQCERT allow

保存并退出文件。

在浏览器上测试Squid代理OpenLDAP身份验证

为了在浏览器上测试我们的Squid Proxy OpenLDAP身份验证,我们将使用Firefox。通过查看以下链接,了解如何在firefox上配置代理。

如何在Firefox浏览器上配置代理设置

设置代理并尝试浏览Internet后,将提示您进行身份验证。

在pfSense上配置Squid代理OpenLDAP身份验证

输入您的LDAP凭据,然后继续浏览Internet。

您可以在Squid日志和LDAP日志中添加尾巴,以检查发生了什么。

tail -f /var/squid/logs/access.log

tail -f /var/log/slapd.log

这就是如何配置pfSense的Squid Proxy OpenLDAP身份验证。

Sidebar