Vil du lære, hvordan du konfigurerer PFsense Active Directory-godkendelse ved hjælp af Radius? I dette selvstudium vil vi vise dig, hvordan du godkender PFSense-brugere i Active Directory-databasen ved hjælp af Radius-protokollen.
• Pfsense 2.4.4-p3
• Windows 2012 R2
PFsense Relaterede Selvstudium:
På denne side tilbyder vi hurtig adgang til en liste over tutorials relateret til pfSense.
Selvstudium – Installation af Radius Server i Windows
• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL
Åbn programmet Serverstyring.
Få adgang til menuen Administrer, og klik på Tilføj roller og funktioner.
Få adgang til skærmbilledet Serverroller, skal du vælge indstillingen Netværkspolitik og adgangstjeneste.
Klik på knappen Næste.
Klik på knappen Tilføj funktioner på følgende skærmbillede.
Klik på knappen Næste på skærmbilledet Rolletjeneste.
På næste skærmbillede skal du klikke på knappen Installer.
Du er færdig med installationen af Radius-serveren på Windows 2012.
Selvstudium Radius Server – Aktiv Mappe Integration
Dernæst skal vi oprette mindst én konto i Active Directory-databasen.
ADMIN-kontoen vil blive brugt til at logge ind på Pfsense-webgrænsefladen.
Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren
Opret en ny konto i objektbeholderen Brugere.
Oprette en ny konto med navnet: administrator
Adgangskode konfigureret til ADMIN bruger: 123qwe..
Denne konto vil blive brugt til at godkende som administrator på Pfsense-webgrænsefladen.
Tillykke, du har oprettet de nødvendige Active Directory-konti.
Dernæst skal vi oprette mindst én gruppe i Active Directory-databasen.
Åbn programmet med navnet: Active Directory-brugere og -computere på domænecontrolleren
Opret en ny gruppe i objektbeholderen Brugere.
Oprette en ny gruppe med navnet: pfsense-admin
Medlemmer af denne gruppe vil have administratortilladelsen på PFsense-webgrænsefladen.
Vigtigt! Tilføj administratorbrugeren som medlem af pfsense-admin-gruppen.
Tillykke, du har oprettet den nødvendige Active Directory-gruppe.
Selvstudium – Firewall til Windows-domænecontroller
Vi skal oprette en firewallregel på Windows-domænecontrolleren.
Denne firewallregel tillader Pfsense-serveren at forespørge på Active Directory-databasen.
Åbn programmet Windows Firewall med avanceret sikkerhed på domænecontrolleren
Opret en ny indgående firewallregel.
Vælg indstillingen PORT.
Vælg TCP-indstillingen.
Vælg indstillingen Specifikke lokale porte.
Angiv TCP-port 636.
Vælg indstillingen Tillad forbindelsen.
Markér indstillingen DOMÆNE.
Markér indstillingen PRIVAT.
Markér indstillingen OFFENTLIG.
Angiv en beskrivelse af firewallreglen.
Tillykke, du har oprettet den nødvendige firewallregel.
Denne regel tillader Pfsense at forespørge i Active Directory-databasen.
Radius Server til selvstudium – Tilføj klientenheder
Åbn programmet med navnet: Network Policy Server på Radius-serveren
Du skal godkende Radius-serveren i Active Directory-databasen.
Højreklik på NPS(LOCAL), og vælg indstillingen Registrer server i Active Directory.
Klik på KNAPPEN OK på bekræftelsesskærmen.
Derefter skal du konfigurere Radius-klienter.
Radius-klienter er enheder, der kan anmode om godkendelse fra Radius-serveren.
Vigtigt! Må ikke forveksle Radius-kunder med Radius-brugere.
Højreklik på mappen Radius-klienter, og vælg indstillingen Ny.
Her er et eksempel på en klient, der er konfigureret til at tillade en Pfsense-firewall at oprette forbindelse til Radius-serveren.
Du skal angive følgende konfiguration:
• Venligt navn til enheden – Tilføj en beskrivelse til dig Pfsense
• Enheds-IP-adresse – IP-adresse på din PFsense firewall
• Enhed delt hemmelighed – kamisama123
Den delte hemmelighed vil blive brugt til at godkende enheden til at bruge Radius-serveren.
Du er færdig med konfigurationen af Radius-klienten.
Radius-selvstudium Server – Konfigurer en netværkspolitik
Nu skal du oprette en netværkspolity for at tillade godkendelse.
Højreklik på mappen Netværkspolitikker, og vælg indstillingen Ny.
Skriv et navn til netværkspolitikken, og klik på knappen Næste.
Klik på knappen Tilføj betingelse.
Vi vil tillade medlemmer af PFSENSE-ADMIN-gruppen at godkende.
Vælg indstillingen Brugergruppe, og klik på knappen Tilføj.
Klik på knappen Tilføj grupper, og find PFSENSE-ADMIN-gruppen.
Vælg indstillingen Adgang tildelt, og klik på knappen Næste.
Dette vil gøre det muligt for medlemmer af PFSENSE-ADMIN-gruppen at godkende på Radius-serveren.
Vælg indstillingen Ikke-krypteret godkendelse (PAP, SPAP) på skærmbilledet Godkendelsesmetoder.
Hvis følgende advarsel vises, skal du klikke på knappen Nej.
Vælg indstillingen Standard radiusattribut på konfigurationsskærmen Radius, og klik på knappen Tilføj
Vælg attributten Klasse, og klik på knappen Tilføj.
Vælg indstillingen Streng, og angiv ti navne på den aktive gruppe, vi oprettede før.
I vores eksempel oprettede vi en Active Directory-gruppe med navnet PFSENSE-ADMIN.
NPS Radius-serveren overfører klasseoplysningerne tilbage til PFsense-firewallen.
Pfsense firewallen bruger klasseoplysningerne til at indstille brugeren som medlem af pfsense-admin-gruppen.
Husk, at pfsense-admin-gruppen skal findes i den aktive mappe og også på Pfsense-firewallen.
Kontroller konfigurationsoversigten for Radius-serveren, og klik på knappen Udfør.
Tillykke! Du er færdig med konfigurationen af Radius-serveren.
PFSense – PFSense Radius-godkendelse på Active Directory
Åbn en browsersoftware, indtast IP-adressen på din Pfsense-firewall, og få adgang til webgrænsefladen.
I vores eksempel blev følgende webadresse indtastet i browseren:
• https://192.168.15.11
Pfsense-webgrænsefladen skal præsenteres.
Angiv logonoplysningerne for Pfsense Default Password på prompt-skærmen.
• Brugernavn: admin
• Adgangskode: pfsense
Efter et vellykket login, vil du blive sendt til Pfsense Dashboard.
Få adgang til menuen Pfsense System, og vælg indstillingen Brugerstyring.
På skærmbilledet Brugeradministrator skal du åbne fanen Godkendelsesservere og klikke på knappen Tilføj.
Udfør følgende konfiguration i området Serverindstillinger:
• Beskrivelsesnavn: ACTIVE DIRECTORY
• Type: RADIUS
Udfør følgende konfiguration i området radiusserverindstillinger:
• Protokol – PAP
• Værtsnavn eller IP-adresse – 192.168.15.10
• Shared Secret – The Radius Client delte secret (kamisama123)
• Tjenester, der tilbydes – Godkendelse og regnskab
• Godkendelsesport – 1812
• Acconting Port – 1813
• Timeout for godkendelse – 5
Du skal ændre IP-adressen på Radius-serveren.
Du skal ændre den delte hemmelighed, så den afspejler din Radius-klients delte hemmelighed.
Klik på knappen Gem for at afslutte konfigurationen.
I vores eksempel har vi konfigureret Radius-servergodkendelsen på PFSense-firewallen.
PFSense Radius – Test af Active Directory-godkendelse
Få adgang til menuen Pfsense Diagnostics, og vælg indstillingen Godkendelse.
Vælg Active Directory-godkendelsesserveren.
Indtast Admin brugernavn, dens adgangskode og klik på test-knappen.
Hvis testen lykkes, får du vist følgende meddelelse.
Tillykke! PFsense Radius-servergodkendelsen på Active Directory blev konfigureret korrekt.
PFSense – Tilladelse til Active Directory-gruppe
Få adgang til menuen Pfsense System, og vælg indstillingen Brugerstyring.
På skærmbilledet Brugeradministrator skal du åbne fanen Grupper og klikke på knappen Tilføj.
Udfør følgende konfiguration på skærmbilledet Gruppeoprettelse:
• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group
Klik på gem-knappen, vil du blive sendt tilbage til gruppens konfiguration skærmen.
Nu skal du redigere tilladelserne for pfsense-admin-gruppen.
Find området Tildelte rettigheder i egenskaberne for pfsense-admin, og klik på knappen Tilføj.
Udfør følgende konfiguration i området Grupperettigheder:
• Assigned privileges – WebCfg – All pages
Klik på knappen Gem for at afslutte konfigurationen.
PFSense – Aktiver Active Directory-godkendelse
Få adgang til menuen Pfsense System, og vælg indstillingen Brugerstyring.
Få adgang til fanen Indstillinger på skærmbilledet Brugeradministrator.
Vælg Active directory-godkendelsesserveren på skærmbilledet Indstillinger.
Klik på knappen Gem og test.
Når du har afsluttet konfigurationen, skal du logge af Pfsense-webgrænsefladen.
Prøv at logge på ved hjælp af administratorbrugeren og adgangskoden fra Active Directory-databasen.
Brug administratorbrugeren og adgangskoden fra Active Directory-databasen på logonskærmen.
• Brugernavn: admin
• Adgangskode: Angiv adgangskoden til active directory.
Tillykke! Du har konfigureret PFSense-godkendelsen til at bruge Active Directory-databasen.