在pfSense上配置Squid代理OpenLDAP身份验证
欢迎来到有关如何配置pfSense的Squid Proxy OpenLDAP身份验证的教程。 Squid代理支持不同类型的身份验证方法,其中之一是轻量级目录访问协议(LDAP)。 鱿鱼代理认证 确保只有经过身份验证的用户才能访问Internet,这是过滤个人Internet访问的一种方式。
在之前的指南中,我们提供了有关如何在pfSense上安装和设置Squid Proxy的分步教程。以下是链接;
在pfSense上安装和设置Squid代理
在pfSense上配置Squid代理OpenLDAP身份验证
我们假设您已经在pfSense上安装并设置了Squid,如果没有,请按照上面的链接进行设置。
我们还假定已启动并运行OpenLDAP服务器。在我们的例子中,我们使用的是在CentOS 8系统上运行的OpenLDAP服务器。
在CentOS 8上安装和设置OpenLDAP
配置Squid OpenLDAP身份验证设置
首先,登录pfSense Web界面并导航至 服务>鱿鱼代理服务器。
请点击 认证方式 标签。在这里定义Squid代理身份验证机制和设置。
定义Squid身份验证常规设置
在“ Squid身份验证常规设置”部分;
- 选择一种身份验证方法,选择 LDAP 在这种情况下。
- 输入您的OpenLDAP服务器服务器的IP或主机名
- 输入用于连接到LDAP服务器的端口。我们选择港口 389 为我们的服务器。
- 设置将在代理身份验证请求窗口顶部显示的首选字符串。
- 对于身份验证过程和TTL,我们使用默认值
- 为不受限制的IP启用Squid代理身份验证
- 如果您有任何子网要从Squid身份验证中排除,请指定它们。
定义Squid身份验证LDAP设置
在本部分中,您需要定义OpenLDAP身份验证详细信息。
- 设置LDAP版本,本例中为版本3。
- 选择通讯方式。在我们的设置中,OpenLDAP配置有TLS支持,因此具有STARTTLS。
- 在定义的搜索库中设置LDAP绑定/用户DN以及用于搜索LDAP目录的密码。
- 设置您的OpenLDAP基本域。
- 输入LDAP用户名DN属性。我们在设置中使用UID。
- 设置您的LDAP搜索过滤器。
请点击 保存 完成配置后。
在pfSense上导入OpenLDAP CA证书
请注意,我们选择了STARTTLS作为传输方式。因此,我们需要为可信任的连接安装LDAP服务器的CA证书。
因此,通过SSH登录pfSense控制台。更换 pfsense-IP 与您的pfSense服务器的IP地址
ssh [email protected]
使用OpenSSL命令下载LDAP CA证书。相应地替换IP地址。
openssl s_client -connect 192.168.57.19:636 -showcerts < /dev/null | openssl x509 -text | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
复制证书部分;
-----BEGIN CERTIFICATE----- MIIDvzCCAqegAwIBAgIUc8imlOVhEej453dXtvacn7krg1MwDQYJKoZIhvcNAQEL ... ... Igf9K1e9M0Q+j2XEsTeCYVU/v0Jt0kER0+V/NM0IrDOX+6kRz6DNsZrwcMEf5Yvp ARWZ -----END CERTIFICATE-----
将证书放在文件中并存储在方便的位置,例如, /usr/local/etc/ssl/
。
vi /usr/local/etc/ssl/cacert.pem
将上面的证书粘贴到文件中;
-----BEGIN CERTIFICATE----- MIIDvzCCAqegAwIBAgIUc8imlOVhEej453dXtvacn7krg1MwDQYJKoZIhvcNAQEL ... ... Igf9K1e9M0Q+j2XEsTeCYVU/v0Jt0kER0+V/NM0IrDOX+6kRz6DNsZrwcMEf5Yvp ARWZ -----END CERTIFICATE-----
接下来,打开 /usr/local/etc/openldap/ldap.conf
文件并在下面插入行。
vi /usr/local/etc/openldap/ldap.conf
TLS_CACERT /usr/local/etc/ssl/cacert.pem TLS_REQCERT allow
保存并退出文件。
在浏览器上测试Squid代理OpenLDAP身份验证
为了在浏览器上测试我们的Squid Proxy OpenLDAP身份验证,我们将使用Firefox。通过查看以下链接,了解如何在firefox上配置代理。
如何在Firefox浏览器上配置代理设置
设置代理并尝试浏览Internet后,将提示您进行身份验证。
输入您的LDAP凭据,然后继续浏览Internet。
您可以在Squid日志和LDAP日志中添加尾巴,以检查发生了什么。
tail -f /var/squid/logs/access.log
和
tail -f /var/log/slapd.log
这就是如何配置pfSense的Squid Proxy OpenLDAP身份验证。
。