Anda dapat menggunakan server proxy di ChromeOS untuk memberikan perlindungan di antara organisasi dan situs yang dikunjungi pengguna. Server proxy dapat memfilter konten yang tidak aman atau tidak diinginkan, menyembunyikan alamat IP pengguna, atau memfilter situs tertentu.
Saat Anda menggunakan server proxy, langkah-langkah berikut akan diambil:
- Permintaan situs melewati server proxy.
- Kemudian, server meneruskan permintaan ke situs.
- Situs web mengembalikan halaman web ke server proxy.
- Server mengarahkan halaman web kembali ke perangkat pengguna.
Bagaimana cara memilih proxy?
ChromeOS mendukung skema proxy yang berbeda-beda, bergantung pada kebutuhan organisasi Anda seperti keamanan, traffic apa yang harus di-proxy-kan, atau lokasi terjadinya resolusi DNS. Untuk melihat semua skema proxy yang didukung di ChromeOS, serta detail implementasi, lihat Dukungan proxy di Chrome.
Beberapa konfigurasi proxy mungkin tidak kompatibel dengan setelan jaringan lainnya. Misalnya, jika proxy dikonfigurasi di ChromeOS, resolusi DNS terjadi di sisi server, kecuali untuk proxy socks4, sehingga tidak kompatibel dengan konfigurasi DNS kustom.
Saat Anda memilih mekanisme autentikasi proxy, berbagai komponen di tingkat ChromeOS memiliki kemampuan jaringan yang berbeda, atau lebih sedikit, dibandingkan browser Chrome.
Autentikasi proxy di tingkat ChromeOS
Saat pengguna login ke browser Chrome, nama pengguna dan sandinya disimpan di cache autentikasi yang terkait dengan profilnya dan hanya dapat diakses oleh permintaan navigasi pengguna browser Chrome di browser OS.
Artinya, layanan sistem yang memerlukan konektivitas di browser Chrome, seperti update kebijakan atau pendaftaran kios, dan di OS, seperti update OS, mengupload laporan kerusakan, atau menyinkronkan waktu sistem, tidak memiliki akses ke nama pengguna dan sandi. Admin jaringan harus memastikan bahwa traffic yang dihasilkan oleh layanan sistem melewati langkah autentikasi.
Hal ini juga berlaku untuk Google Play dan traffic aplikasi Google Play.
Untuk mengetahui daftar endpoint yang digunakan oleh layanan sistem dan Google Play, yang harus mengabaikan langkah autentikasi pada proxy, lihat bagian Daftar pengabaian autentikasi proxy.
Daftar pengabaian proxy dapat dikurangi secara signifikan pada perangkat terdaftar dengan mengonfigurasi kebijakan SystemProxySettings untuk mengizinkan layanan sistem di traffic OS dan Google Play diautentikasi oleh layanan OS. Untuk mengetahui detailnya, lihat setelan Traffic Proxy yang Diautentikasi di Menetapkan kebijakan perangkat ChromeOS.
Selain itu, sertifikat CA kustom hanya diterapkan berdasarkan traffic pengguna. Jika proxy melakukan pemeriksaan TLS, traffic sistem dan traffic Android akan diizinkan untuk mengabaikan pemeriksaan. Lihat Menyiapkan pemeriksaan TLS (atau SSL) di perangkat Chrome > Menyiapkan daftar nama host yang diizinkan.
Cara mengonfigurasi proxy eksplisit di ChromeOS
Setelan yang akan digunakan
Anda dapat mengonfigurasi proxy di ChromeOS untuk setiap jaringan atau, secara global, untuk semua jaringan di organisasi Anda. Konfigurasi proxy tercantum di bawah ini sesuai urutan prioritas:
- Kebijakan pengguna ProxySettings—Global
- Ekstensi—Global
- Kebijakan pengguna OpenNetworkConfiguration—Per jaringan
- Kebijakan perangkat DeviceOpenNetworkConfiguration—Per jaringan
- UI setelan jaringan—Ditetapkan oleh pengguna per jaringan
Secara umum, konfigurasi proxy berlaku untuk seluruh OS, dengan pengecualian berikut ketika pengguna harus secara eksplisit mengizinkan konfigurasi proxy di browser:
- Proxy kumpulan ekstensi secara default dinonaktifkan dalam mode Samaran. Pengguna harus secara eksplisit mengizinkan ekstensi yang mengontrol proxy untuk dijalankan dalam mode Samaran dari halaman chrome://extensions.
Anda tidak dapat menerapkan proxy yang ditetapkan ekstensi dalam mode Samaran, tetapi Anda dapat memblokir navigasi Samaran jika ekstensi yang telah dikonfigurasi sebelumnya tidak diizinkan oleh pengguna dalam mode Samaran. Untuk mengetahui detail selengkapnya, lihat kebijakan MandatoryExtensionsForIncognitoNavigation. - Jika Anda menggunakan profil sekunder Lacros, pengguna dapat memilih untuk ikut serta atau tidak ikut menggunakan proxy yang dikonfigurasi di OS dengan membuka halaman chrome://settings/system dan mengaktifkan Gunakan setelan proxy ChromeOS untuk profil ini.
Format konfigurasi proxy yang akan digunakan
ChromeOS mendukung format proxy berikut:
- Manual—Daftar statis ID proxy beserta daftar pengabaian endpoint yang harus mengabaikan proxy
- Skrip PAC—File JavaScript yang memungkinkan penetapan aturan yang lebih kompleks guna menentukan proxy yang akan digunakan untuk URL
- Deteksi otomatis—Protokol Web Proxy Auto-Discovery (WPAD) yang merupakan mekanisme penemuan di mana DNS atau DHCP diperiksa untuk mendapatkan URL PAC
- Langsung—Pseudo-proxy yang berarti tidak ada proxy yang digunakan
Saat menentukan format, ingatlah bahwa:
- Resolusi proxy terjadi sebelum resolusi nama. Jika daftar pengabaian proxy dikonfigurasi menggunakan literal IP, pengecualian hanya akan diterapkan jika pengguna membuka alamat IP tertentu, bukan nama host yang terkait dengan IP. Untuk mengetahui detail selengkapnya, lihat Aturan pengabaian proxy.
- Hal berikut berlaku untuk dukungan proxy Android:
- URL PAC dengan data:// scheme tidak didukung
- Untuk setelan proxy manual, daftar pengabaian tidak mendukung karakter khusus untuk alamat IPv6 atau karakter non-ASCII
Daftar pengabaian autentikasi proxy
Layanan sistem ChromeOS
| Layanan Chrome/ChromeOS | Nama host |
|---|---|
| Penting | |
| DMServer | m.google.com |
| Pendaftaran ulang paksa, untuk Akses Terverifikasi | chromeos-ca.gstatic.com |
| ChromeOS—Update otomatis | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| ChromeOS—Log update pelaporan error Chrome—Log update WebRTC |
clients2.google.com |
| ChromeOS—sinkronisasi jam sistem tlsdate | clients3.google.com |
| Deteksi captive portal | www.gstatic.com atau accounts.google.com atau www.googleapis.com |
| Upload pelaporan untuk pemecahan masalah, mendownload Crostini, dan sebagainya | storage.googleapis.com |
| Berbagai layanan API | www.googleapis.com |
| Domain yang digunakan oleh Google—Pisahkan dari *.google.com untuk menghindari serangan XSS | *.1e100.net |
| URL bandaid—Beberapa permintaan dialihkan ke infrastruktur Google caching yang mempercepat download aplikasi | *.gvt1.com |
| Download update otomatis, gambar statis, dan sebagainya | dl.google.com dl-ssl.google.com |
| Update komponen Chrome (chrome://components) | update.googleapis.com |
| Sangat direkomendasikan | |
| Safe Browsing | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Server sinkronisasi akun Chrome—Menyinkronkan data pengguna seperti bookmark, pengumpulan metrik pengguna, dan layanan lainnya | clients4.google.com |
| Saran dokumen Omnibox | cloudsearch.googleapis.com |
| Download penyesuaian OEM (dan lainnya) | ssl.gstatic.com |
|
Konten buatan pengguna atau pihak ketiga, misalnya drive atau ekstensi printer googleusercontent.com melindungi properti Google utama dari konten buatan pengguna yang dapat berisi bug atau secara berbahaya membuat domain rentan terhadap serangan pembuatan skrip lintas situs |
*.googleusercontent.com |
| Dukungan printer—Mendownload printer PDD | printerconfigurations.googleusercontent.com |
| Dukungan periferal—Instruksi khusus tentang cara beradaptasi secara lebih baik dengan berbagai perangkat yang terhubung; saat ini mendukung printer dan layar | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Nama host |
|---|---|
| Penting | |
| Penting untuk penyediaan dan penginstalan aplikasi | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, endpoint inti GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Lainnya | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Ekstensi dan kios
| Layanan Chrome/ChromeOS | Nama host |
|---|---|
| Penting | |
| Endpoint download ekstensi | clients2.google.com clients2.googleusercontent.com chrome.google.com |