Вы можете настроить прокси-серверы в ChromeOS, чтобы защитить пользователей организации от небезопасного и нежелательного контента, скрыть их IP-адреса и заблокировать определенные сайты.
При использовании прокси-серверов происходит следующее:
- Запросы с устройства пользователя поступают на прокси-сервер.
- Сервер передает запросы на сайт.
- Сайт возвращает веб-страницу на прокси-сервер.
- Прокси-сервер передает веб-страницу на устройство пользователя.
Выбор прокси-сервера
Выбор прокси-сервера может зависеть от того, какие потребности есть у организации (защита пользователей, блокировка трафика) или где необходимо выполнять DNS-преобразование. ChromeOS поддерживает различные схемы прокси-серверов. Их полный список, а также информацию о внедрении можно найти в статье Поддержка прокси-серверов в Chrome.
Некоторые конфигурации прокси-серверов могут быть несовместимы с определенными настройками сети. Например, если прокси-сервер настроен в ChromeOS, DNS-преобразование происходит на стороне сервера, за исключением серверов socks4. Из-за этого они могут быть несовместимы с особыми конфигурациями DNS.
Что касается аутентификации прокси-сервера, то сетевые возможности некоторых компонентов на уровне ChromeOS могут отличаться от браузера Chrome или их может быть меньше.
Аутентификация прокси-сервера на уровне ChromeOS
При входе в аккаунт в браузере Chrome имя пользователя и пароль сохраняются в кеше аутентификации, связанном с профилем пользователя. Эти данные доступны только для запросов навигации в браузере Chrome.
У системных операций, для которых требуется обмен данными с браузером Chrome (таких как обновления плавил и регистрация киоска) или с операционной системой (таких как обновления ОС, загрузка отчетов о сбоях, синхронизация системного времени), нет доступа к именам пользователей и паролям. Администратору сети необходимо убедиться, что трафик, генерируемый системными службами, обходит этап аутентификации.
Это также относится к трафику сайта и приложения Google Play.
Используемые системными службами и Google Play конечные точки, которые должны обходить этап аутентификации, перечислены в разделе Список обхода аутентификации прокси-сервера.
Чтобы сократить этот список для зарегистрированных устройств, вы можете настроить правило SystemProxySettings, разрешив аутентификацию трафика системных служб и Google Play в операционной системе. Подробную информацию об этом можно найти в разделе "Аутентифицированный прокси-трафик" статьи Как настроить правила для устройств с ChromeOS.
Что касается собственных сертификатов ЦС, то они присваиваются только пользовательскому трафику. Системный трафик и трафик Android должны обходить проверку TLS прокси-сервера. Дополнительную информацию можно прочитать в статье Настройка проверки TLS (или SSL) на устройствах Chrome > Как настроить белый список имен хостов.
Настройка непрозрачного прокси-сервера в ChromeOS
Конфигурации
Вы можете настроить прокси-серверы в ChromeOS для отдельных или сразу всех сетей организации. Конфигурации прокси-серверов перечислены ниже в порядке приоритета.
- Правила для пользователей ProxySettings (для всех сетей).
- Расширения (для всех сетей).
- Правила для пользователей OpenNetworkConfiguration (для отдельных сетей).
- Правила для устройств DeviceOpenNetworkConfiguration (для отдельных сетей).
- Настройки сети (настраиваются пользователем для отдельных сетей).
В целом конфигурации прокси-серверов применяются ко всей операционной системе, за исключением следующих случаев, когда пользователи должны явным образом разрешить конфигурацию в браузере:
- Прокси-серверы, настроенные через расширение, по умолчанию отключаются в режиме инкогнито. Пользователи должны явным образом разрешить расширению, которое контролирует прокси-сервер, работать в режиме инкогнито. Это можно сделать на странице chrome://extensions.
Настроить принудительную работу таких прокси-серверов в режиме инкогнито нельзя, но можно заблокировать навигацию в режиме инкогнито, если пользователь не разрешил настроенное расширение. Дополнительную информацию можно найти в описании правила MandatoryExtensionsForIncognitoNavigation. - Пользователи могут включить или отключить прокси-сервер операционной системы для дополнительных профилей Lacros на странице chrome://settings/system (параметр Использовать настройки прокси-сервера ChromeOS для этого профиля).
Формат конфигурации
ChromeOS поддерживает следующие форматы конфигурации прокси-сервера:
- Вручную: статический список идентификаторов прокси-серверов и список обхода (список конечных точек, которые должны обходить прокси-сервер).
- PAC-скрипт: файл JavaScript, который позволяет настроить более сложные правила, определяющие, какой прокси-сервер нужно использовать для конкретных URL.
- Автоматическое определение: протокол WPAD (автоматическая настройка прокси-сервера), который позволяет получить URL файла автоконфигурации (PAC) с помощью технологии DNS или DHCP.
- Напрямую: псевдо-прокси (прокси-сервер не используется).
При выборе формата учитывайте следующее:
- Разрешение прокси-сервера происходит раньше разрешения имени. Исключение составляют только случаи, когда пользователь переходит на определенный IP-адрес, а не на имя хоста, связанное с IP, если список обхода настроен с использованием литералов IP. Подробнее о правилах обхода прокси-сервера…
- Для прокси-сервера на Android:
- URL PAC-файла со схемой data:// не поддерживается.
- При настройке прокси-сервера вручную список обхода не поддерживает специальные символы для IPv6-адресов и символы в кодировке, отличной от ASCII.
Списки обхода аутентификации прокси-сервера
Системные службы ChromeOS
| Службы Chrome/ChromeOS | Имена хостов |
|---|---|
| Основные | |
| DMServer | m.google.com |
| Принудительная повторная регистрация (для подтвержденного доступа) | chromeos-ca.gstatic.com |
| Автообновления (ChromeOS) | cros-omahaproxy.appspot.com omahaproxy.appspot.com tools.google.com |
| Журнал обновлений отчетов о сбоях (ChromeOS) Журналы обновлений WebRTC (Chrome) |
clients2.google.com |
| tlsdate (синхронизация системного времени, ChromeOS) | clients3.google.com |
| Обнаружение страницы входа | www.gstatic.com, accounts.google.com или www.googleapis.com |
| Загрузка отчетов для устранения неполадок, скачивание Crostini и т. д. | storage.googleapis.com |
| Различные API | www.googleapis.com |
| Домен, используемый Google (аутентификационные данные следует хранить отдельно от данных *.google.com, чтобы избежать XSS-атак) | *.1e100.net |
| URL Bandaid (некоторые запросы перенаправляются в инфраструктуру кеширования Google, чтобы ускорить скачивание приложений) | *.gvt1.com |
| Скачивание автообновлений, статичных изображений и т. д. | dl.google.com dl-ssl.google.com |
| Обновления компонентов Chrome (chrome://components) | update.googleapis.com |
| Настоятельно рекомендуемые | |
| Безопасный просмотр | safebrowsing-cache.google.com safebrowsing.google.com safebrowsing.googleapis.com enterprise-safebrowsing.googleapis.com sb-ssl.google.com |
| Сервер синхронизации аккаунта Chrome (синхронизирует такие данные пользователя, как закладки, показатели и данные сервисов) | clients4.google.com |
| Рекомендации документов для омнибокса | cloudsearch.googleapis.com |
| Загрузка настроек OEM (и других данных) | ssl.gstatic.com |
|
Контент, созданный пользователями или третьими лицами (например, драйверы принтера или расширения) googleusercontent.com защищает основные сервисы Google от контента, созданного пользователями, который может содержать ошибки или сделать домен уязвимым для межсайтового скриптинга. |
*.googleusercontent.com |
| Поддержка принтера (скачивание файла PDD принтера) | printerconfigurations.googleusercontent.com |
| Поддержка периферийных устройств (специальные инструкции для различных подключенных устройств, в настоящее время поддерживаются принтеры и дисплеи) | chromeosquirksserver-pa.googleapis.com |
Google Play
| Google Play | Имена хостов |
|---|---|
| Основные | |
| Основные для инициализации и установки приложений | android.googleapis.com android.apis.google.com play.google.com |
|
Google Cloud Messaging (GCM), Firebase Cloud Messaging, основные конечные точки GMS gcm-http.googleapis.com gcm-xmpp.googleapis.com fcm.googleapis.com fcm-xmpp.googleapis.com gmscompliance-pa.googleapis.com |
*.googleapis.com |
| Другие | connectivitycheck.android.com *.android.com google-analytics.com android.googleapis.com pki.google.com clients5.google.com clients6.google.com connectivitycheck.gstatic.com |
Расширения и киоск-приложения
| Службы Chrome/ChromeOS | Имена хостов |
|---|---|
| Основные | |
| Конечная точка скачивания расширений | clients2.google.com clients2.googleusercontent.com chrome.google.com |