Интересные задачи иногда ставит руководство
решение:
AD + политики, где прописывается PROXY SQUID
FreeBSD + SQUID собранный с ICAP и SSL Bump
Поддельный сертификат, который засунут в AD как корневой центр
и мы видим все пароли как обычный текст со всех https сайтов, посещаемых сотрудниками
squid.conf
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB
sslcrtd_children 20
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
http_port xxx.xxx.xxx.xxx:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/libexec/squid/ssl_cert/myCA.pem key=/usr/local/libexec/squid/ssl_cert/myCA.pem
always_direct allow all
acl allow_ssl_sites dstdomain .rsb.ru .sbrf.com
ssl_bump deny allow_ssl_sites
ssl_bump allow all
icap_enable on
icap_service service_req reqmod_precache bypass=0 icap://127.0.0.1:1344/request
adaptation_access service_req allow all
я исключил то, что ведёт себя подозрительно для сотрудников
Жаль что нельзя в transparent
Огромное спасибо за это AlexRousskov