يمكنك استخدام الخوادم الوكيلة في نظام التشغيل ChromeOS حتى توفّر الحماية بين مؤسستك والمواقع الإلكترونية التي يزورها المستخدمون. ويمكن أن يؤدي استخدام الخوادم الوكيلة إلى استبعاد المحتوى غير الآمن أو غير المرغوب فيه، أو إخفاء عناوين IP الخاصة بالمستخدمين، أو فلترة مواقع إلكترونية معيّنة.
عند استخدام الخوادم الوكيلة، يتم اتخاذ الخطوات التالية:
- تمر طلبات المواقع الإلكترونية عبر الخادم الوكيل.
- ثم يمرر الخادم الطلبات إلى موقع الويب.
- يعرض الموقع الإلكتروني صفحة الويب مرة أخرى على الخادم الوكيل.
- يعيد الخادم توجيه صفحة الويب إلى جهاز المستخدم.
كيفية اختيار خادم وكيل؟
يتوافق نظام التشغيل ChromeOS مع أنظمة مختلفة للخادم الوكيل، بناءً على احتياجات مؤسستك، مثل الأمان أو عدد الزيارات التي يجب إنشاء خادم وكيل لها أو الأماكن التي يجب أن يتم فيها التحويل باستخدام نظام أسماء النطاقات (DNS). لعرض جميع أنظمة الخادم الوكيل المتوافقة في ChromeOS، بالإضافة إلى تفاصيل التنفيذ، يُرجى الاطّلاع على توافق الخادم الوكيل في Chrome.
قد لا تتوافق بعض عمليات ضبط الخادم الوكيل مع إعدادات الشبكة الأخرى. على سبيل المثال، عند ضبط خادم وكيل في نظام التشغيل ChromeOS، يتم التحويل باستخدام نظام أسماء النطاقات (DNS) على جانب الخادم، باستثناء خوادم socks4 الوكيلة، ما يجعلها غير متوافقة مع عمليات ضبط نظام أسماء النطاقات المخصّصة.
عند اختيار آلية مصادقة الخادم الوكيل، تتضمّن المكونات مختلفة على مستوى نظام التشغيل ChromeOS إمكانات شبكة مختلفة أو أقل عن متصفِّح Chrome.
مصادقة الخادم الوكيل على مستوى نظام التشغيل ChromeOS
عندما يسجّل المستخدم الدخول إلى متصفِّح Chrome، يتم تخزين اسم المستخدم وكلمة المرور في ذاكرة التخزين المؤقت للمصادقة المرتبطة بملفه الشخصي ولا يمكن الوصول إليهما إلا من خلال طلبات التنقّل الخاصة بمستخدم متصفّح Chrome في متصفّح نظام التشغيل.
يعني ذلك أنّ خدمات النظام التي تتطلّب الإتصال في متصفِّح Chrome، مثل تحديثات السياسة أو التسجيل في Kiosk، وفي نظام التشغيل، مثل تحديثات نظام التشغيل، أو تحميل تقارير الأعطال، أو مزامنة وقت النظام، لن تتمكّن من الوصول إلى أسماء المستخدمين وكلمات المرور. وعلى مشرفي الشبكة التحقّق من أنّ الزيارات التي تنشئها خدمات النظام تتجاوز خطوة المصادقة.
ينطبق ذلك أيضًا على زيارات المستخدمين إلى Google Play وتطبيقات Google Play.
للحصول على قائمة بنقاط النهاية التي تستخدمها خدمات النظام وGoogle Play والتي من المفترض أن تتجاوز خطوة المصادقة على الخادم الوكيل، يُرجى مراجِعة قسم القوائم المسموح لها بتجاوز مصادقة الخادم الوكيل.
يمكن تقليل القائمة المسموح لها بتجاوز الخادم الوكيل بشكلٍ كبير على الأجهزة المسجَّلة من خلال ضبط سياسة SystemProxySettings للسماح بمصادقة خدمات النظام على نظام التشغيل وزيارات Google Play من خلال خدمة نظام التشغيل. ولمعرفة التفاصيل، يُرجى الاطّلاع على إعداد "عدد زيارات الخادم الوكيل الحاصلة على مصادقة" في ضبط سياسات جهاز ChromeOS.
كذلك يتم قبول شهادات CA المخصّصة مع زيارات المستخدمين فقط. عندما يجري الخادم الوكيل فحصًا لبروتوكول أمان طبقة النقل (TLS)، يجب السماح لزيارات بيانات النظام وزيارات Android بتجاوز الفحص. يمكنك الاطّلاع على إعداد فحص بروتوكول أمان طبقة النقل (TLS) (أو طبقة المقابس الآمنة) على أجهزة Chrome > إعداد قائمة بأسماء المضيفين المسموح بها.
كيفية ضبط خادم وكيل صريح على نظام التشغيل ChromeOS
الإعدادات المراد استخدامها
يمكنك إعداد الخوادم الوكيلة على ChromeOS للشبكات الفردية أو لجميع الشبكات في مؤسستك. أدناه قائمة إعدادات الخادم الوكيل بترتيب حسب الأولوية:
- سياسة المستخدم ProxySettings: عامة
- Extensions(الإضافات): عامة
- سياسة المستخدم OpenNetworkConfiguration: لكل شبكة
- سياسة الجهاز DeviceOpenNetworkConfiguration: لكل شبكة
- واجهة مستخدم إعدادات الشبكة: يحدّدها المستخدم لكل شبكة
بوجه عام، تُطبَّق عمليات ضبط الخادم الوكيل على نظام التشغيل بالكامل مع الاستثناءات التالية، حيث يجب على المستخدمين السماح صراحةً بإعداد الخادم الوكيل في المتصفح:
- يتم إيقاف الخوادم الوكيلة الخاصة بمجموعة الإضافات تلقائيًا في "وضع التصفّح المتخفي". يجب أن يسمح المستخدمون صراحةً بتفعيل الإضافة التي تتحكّم في الخادم الوكيل في "وضع التصفُّح المتخفي" من صفحة chrome://extensions.
لا يمكنك فرض الخوادم الوكيلة الخاصة بمجموعة الإضافات في "وضع التصفُّح المتخفي"، ولكن يمكنك حظر التنقُّل في وضع التصفُّح المتخفي إذا لم يسمح المستخدم بتفعيل إضافة تم ضبطها مسبقًا في وضع التصفُّح المتخفي. لمعرفة مزيد من التفاصيل، يُرجى الاطّلاع على سياسة MandatoryExtensionsForIncognitoNavigation. - في حال استخدام ملفات Lacros الشخصية الثانوية، يتمكن المستخدمون من تفعيل أو إيقاف استخدام الخادم الوكيل الذي تم ضبطه على نظام التشغيل من خلال الانتقال إلى صفحة chrome://settings/system وتفعيل خيار استخدام إعدادات الخادم الوكيل في نظام التشغيل ChromeOS لهذا الملف الشخصي.
تنسيقات إعدادات الخادم الوكيل المراد استخدامها
يتوافق نظام التشغيل ChromeOS مع تنسيقات الخادم الوكيل التالية:
- يدوي: قائمة ثابتة تتضمن معرّفات الخادم الوكيل مع قائمة مسموح لها بتجاوز نقاط النهاية التي يجب أن تتجاوز الخادم الوكيل.
- النص البرمجي PAC: هو ملف JavaScript يسمح بضبط قواعد أكثر تعقيدًا لتحديد الخادم الوكيل المطلوب استخدامه لعنوان URL.
- الكشف التلقائي: إنّ بروتوكول اكتشاف الخادم الوكيل للويب تلقائيًا (WPAD) عبارة عن آليات اكتشاف يتم فيها فحص نظام أسماء النطاقات أو بروتوكول DHCP للحصول على عنوان URL لإعداد PAC.
- مباشر: خادم وكيل وهمي والذي يعني عدم استخدام أي خادم وكيل.
عند اختيار التنسيق، يجب أخذ النقاط التالية في الاعتبار:
- يتم تحليل الخادم الوكيل قبل تحليل الاسم. في حال ضبط القائمة المسموح لها بتجاوز الخادم الوكيل باستخدام القيم الثابتة لبروتوكول الإنترنت (IP)، يتم قبول الاستثناء فقط إذا كان المستخدم ينتقل إلى عنوان IP المحدَّد، وليس إلى اسم المضيف المرتبط بعنوان IP. لمعرفة المزيد من التفاصيل، يُرجى الاطِّلاع على قواعد تجاوز الخادم الوكيل.
- ينطبق ما يلي على التوافق مع الخادم الوكيل في نظام التشغيل Android:
- عناوين URL لإعداد PAC التي تحتوي على data:// scheme غير متوافقة.
- بالنسبة إلى إعدادات الخادم الوكيل اليدوية، لا تتيح قائمة التجاوز الرموز الخاصة لعناوين IPv6 أو الأحرف بخلاف ASCII.
القوائم المسموح لها بتجاوز مصادقة الخادم الوكيل
خدمات نظام التشغيل ChromeOS
| خدمة Chrome/ChromeOS | أسماء المضيفين |
|---|---|
| أساسي | |
| DMServer | m.google.com |
| فرض إعادة التسجيل، من أجل الدخول المتحقَّق منه | chromeos-ca.gstatic.com |
| نظام التشغيل ChromeOS: التحديثات التلقائية | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS: سجلّ تحديث المُبلِّغ عن الأعطال Chrome: سجلات تحديث WebRTC |
clients2.google.com |
| ChromeOS: مزامنة ساعة نظام tlsdate | clients3.google.com |
| اكتشاف مدخل مشروط الوصول إليه | www.gstatic.com أو accounts.google.com أو www.googleapis.com |
| تحميل التقارير من أجل تحديد المشاكل وحلّها وتنزيل نظام التشغيل Crostini وما إلى ذلك | storage.googleapis.com |
| خدمات واجهات برمجة التطبيقات المتنوعة | www.googleapis.com |
| النطاق الذي تستخدمه Google: يمكنك الاحتفاظ به منفصلاً عن *.google.com لتجنُّب هجمات XSS. | *.1e100.net |
| عنوان URL Bandaid: تتم إعادة توجيه بعض الطلبات إلى البنية الأساسية للتخزين المؤقت من Google، ما يؤدي إلى تسريع عملية تنزيل التطبيقات. | *.gvt1.com |
| تنزيل التحديثات التلقائية والصور الثابتة وما إلى ذلك | dl.google.com dl-ssl.google.com |
| تحديثات مكوّنات Chrome (chrome://components) | update.googleapis.com |
| يُنصح بشدة باستخدامه | |
| التصفُّح الآمن | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| خادم مزامنة حساب Chrome: يعمل على مزامنة بيانات المستخدمين، مثل الإشارات المرجعية ومجموعة مقاييس سلوك المستخدم والخدمات الأخرى. | clients4.google.com |
| اقتراحات مستند المربّع المتعدد الاستخدامات | cloudsearch.googleapis.com |
| تنزيل تخصيصات المصنّع الأصلي للجهاز (وغير ذلك) | ssl.gstatic.com |
|
محتوى من إنشاء المستخدمين أو الجهات الخارجية، مثل مساحات تخزين الطابعات أو الإضافات يحمي googleusercontent.com خدمات Google الرئيسية من المحتوى الذي ينشئه المستخدمون والذي قد يحتوي على أخطاء أو يجعل النطاق عرضةً للهجمات التي تعتمد على النصوص البرمجية على المواقع الإلكترونية. |
*.googleusercontent.com |
| دعم الطابعات: تنزيل ملف PDF الخاص بالطابعة | printerconfigurations.googleusercontent.com |
| دعم الأجهزة الملحقة: تعليمات متخصصّة حول كيفية التكيف مع مختلف الأجهزة المتصلة بشكل أفضل؛ يدعم حاليًا الطابعات وشاشات العرض. | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | أسماء المضيفين |
|---|---|
| أساسي | |
| معلومات أساسية لتوفير متطلبات التطبيقات وتثبيتها | android.googleapis.com android.apis.google.com play.google.com |
|
خدمة المراسلة عبر السحابة الإلكترونية من Google (GCM) والمراسلة عبر السحابة الإلكترونية من Firebase ونقاط النهاية الأساسية في GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| غير ذلك | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
الإضافات وkiosk
| خدمة Chrome/ChromeOS | أسماء المضيفين |
|---|---|
| أساسي | |
| نقطة نهاية تنزيل الإضافة | clients2.google.com clients2.googleusercontent.com chrome.google.com |