PfSense – Squid Active Directory Authentication

Salam, Əziz Dostlar. Ötən məqaləmizdə PfSense üzərinə “Squid” qurulması və tənzimləmələrindən bəhs etmişdik.

PfSense” üzərinə “Squid” qurulması” məqaləmizə diqqət yetirsək görərik ki, “Authentication Settings” bölümünə geniş məzmunda toxunmamışıq. Buna görə də bu məqaləmizdə “Squid“-in “Active Directory” ilə inteqrasiyasından bəhs edəcəyik.

Bunun üçün “Services->Proxy Server” yolunu izləyərək “Squid” tənzimləmələrinə daxil oluruq. Ötən məqaləmizdə bütün tənzimləmələri yerinə yetirmişdik. Əgər “Active Directory” ilə inteqrasiya əməliyyatını yerinə yetirmək istəyiriksə, ötən məqaləmizdə də xatırlatdığımız kimi “Transparent proxy” aktiv olmamalıdır. (Xatırlatma:  Əgər “General” bölməsində “Transparent proxy” işarələnibsə “Authentication Settings” bölümü aktiv olmayacaq)

Auth Settings” bölümünə keçid edirik.

PfSenseAuthentication1

Authentication method” – olaraq “LDAP” seçirik.

LDAP version” – 3

Authentication server” – bölümünə serverin IP ünvanını və ya tam FQDN adını daxil edirik

Authentication server port” – LDAP port (Əlavə məlumat üçün : Active Directory and Active Directory Domain Services Port Requirements)

LDAP server user DN” – Serverə qoşulma hüququ olan istifadəçi (cn=Administrator, cn=Users,dc=technet,dc=local)

LDAP password” – yuxarıda qeyd etdiyimiz istifadəçi şifrəsi

LDAP base domain” – domain adı (technet.local olduğu üçün dc=technet,dc=local daxil edirik)

LDAP username DN attribute” – uid

LDAP search filter” – istifadəçi filtrələməsi, burada hansı istifadəçilərin internet girişinə icazə veriləcəyini qeyd edirik. Əgər bütün istifadəçilərin “istifadəçi adları” və “şifrələri” ilə giriş etməsini istəyiriksə “sAMAccountName=%s” daxil etməyimiz kifayətdir. Deyəlim ki, aşağıdakı şəkildəki kimi bir qrup yaratmışıq və internetə çıxış icazəsi olacaq istifadəçiləri bu qrupa üzv etmişik.

PfSenseAuthentication2

Bizə lazımdır ki, yalnız bu “internet” adlı qrupun üzvləri internet istifadə edə bilsinlər. Bunun üçün “LDAP search filter” aşağıdakı kimi olmalıdır:

(&(memberOf=CN=internetAccess,CN=Users,DC=hasan,DC=local)(sAMAccountName=%s))

Atributlar barədə ətraflı məlumat üçün Link.

Authentication prompt” – istifadəçi tərəfdə doğrulama zamanı görünəcək bildiriş

Funksiyamızın işlək olması üçün istifadəçi browser-lərində mütləq proxy tənzimləmələri edilməlidir. Bunu GPO vasitəsilə edə bilərik. Əlavə məlumat üçün “Group Policy ilə Proxy tənzimləmələri” məqaləsinə nəzər sala bilərsiniz.

Bütün tənzimləmələri tamamladıqdan sonra istifadəçi kompüterində yoxlaya bilərik.

PfSenseAuthentication3

Gördüyümüz kimi  “Kimlik doğrulama” tələb olunur. İstifadəçi adını və şifrəsini daxil etdikdən sonra artıq web səhifəmiz açılacaqdır.

PfSenseAuthentication4

Kimlik doğrulama üçün həmçinin “Local Users” bölümündə yaratdığımız istifadəçilərdən də yararlana bilərik.

PfSenseAuthentication5

Belə ki, “Auth Settings” bölümündə  “Authentication method” olaraq “Local” seçib istifadəçilərin internet girişini “Local Users” bölümündə yaratmış olduğumuz istifadəçi adları ilə təmin edə bilərik.

Bu günlük bu qədər, Əziz Dostlar. Gələcək məqalələrdə görüşmək ümidi ilə.

Səs: +40. Bəyənilsin Zəifdir

Müəllif: Röyal Əmrahov

Bu yazıya şərh Bu mövzuya aid sual

Şərh yazın