¿Desea aprender a configurar la autenticación LDAP OPNsense en Active Directory? En este tutorial, vamos a mostrarle cómo autenticar a los usuarios de OPNsense mediante la base de datos de Active Directory de Microsoft Windows y el protocolo LDAP.

• OPNsense 19.7

Lista de equipos

En la siguiente sección se presenta la lista de equipos utilizados para crear este tutorial.

Como asociado de Amazon, gano con compras calificadas.

Tutorial – Firewall del controlador de dominio de Windows

En primer lugar, necesitamos crear una regla de firewall en el controlador de dominio de Windows.

Esta regla de firewall permitirá al servidor Opnsense consultar la base de datos de Active Directory.

En el controlador de dominio, abra la aplicación denominada Firewall de Windows con seguridad avanzada

Cree una nueva regla de firewall de entrada.

zabbix active directory

Seleccione la opción PUERTO.

zabbix windows firewall port

Seleccione la opción TCP.

Seleccione la opción Puertos locales específicos.

Ingrese el puerto TCP 389.

zabbix windows firewall port ldap

Seleccione la opción Permitir la conexión.

zabbix windows firewall allow connection

Marque la opción DOMINIO.

Marque la opción PRIVATE.

Marque la opción PUBLIC.

Zabbix windows firewall profile

Escriba una descripción en la regla de firewall.

windows firewall active directory

Enhorabuena, ha creado la regla de firewall necesaria.

Esta regla permitirá a Opnsense consultar la base de datos de Active Directory.

Tutorial – Creación de cuentas de dominio de Windows

A continuación, necesitamos crear al menos 2 cuentas en la base de datos de Active Directory.

La cuenta ADMIN se utilizará para iniciar sesión en la interfaz web de Opnsense.

La cuenta BIND se usará para consultar la base de datos de Active Directory.

En el controlador de dominio, abra la aplicación denominada: Usuarios y equipos de Active Directory

Cree una nueva cuenta dentro del contenedor Usuarios.

Zabbix active directory account

Crear una nueva cuenta denominada: admin

Contraseña configurada para el usuario ADMIN: 123qwe..

Esta cuenta se utilizará para autenticarse como administrador en la interfaz web de Opnsense.

active directory admin account
zabbix active directory admin properties

Crear una nueva cuenta denominada: bind

Contraseña configurada para el usuario BIND: 123qwe..

Esta cuenta se usará para consultar las contraseñas almacenadas en la base de datos de Active Directory.

active directory bind account
zabbix active directory ldap bind properties

Enhorabuena, ha creado las cuentas de Active Directory necesarias.

OPNsense – Autenticación LDAP de OPNsense en Active Directory

Abra un software de navegador, introduzca la dirección IP de su firewall Opnsense y acceda a la interfaz web.

En nuestro ejemplo, se introdujo la siguiente URL en el navegador:

• https://192.168.15.11

Se debe presentar la interfaz web opnsense.

opnsense login

En la pantalla del prompt, ingrese la información de inicio de sesión de la contraseña predeterminada de OPNsense.

• Nombre de usuario: root
• Contraseña: Contraseña establecida durante OPNsense la instalación

Después de un inicio de sesión correcto, se le enviará al panel de OPNSense.

opnsense dashboard

Acceda al menú Sistema Opnsense, acceda al submenú Acceso y seleccione la opción Servidores.

opnsense servers menu

Haga clic en el botón Agregar y realice la siguiente configuración.

• Nombre descriptivo: LDAP
• Tipo: LDAP
• Nombre de host o dirección IP – 34.212.170.252
• Valor del puerto – 389
• Transporte – Tcp Standard
• Versión del protocolo – 3
• Enlazar credenciales – CN-bind,CN-Usuarios,DC-tech,DC-local
• Enlazar credenciales Contraseña – 123qwe.
• Alcance de búsqueda – Todo el subárbol
• Base DN – DC-tech, DC-local
• Contenedores de autenticación – CN-Usuarios, DC-TECH,DC-LOCAL
• Plantilla inicial – Microsoft AD
• Atributo de nomenclatura de usuario – sAMAccountName
• Leer propiedades
• Sincronizar grupos
• Grupos de límite

Debe cambiar la dirección IP a la dirección IP del controlador de dominio.

Debe cambiar la información del dominio para reflejar el entorno de red.

Debe cambiar las credenciales de enlace para reflejar el entorno de red.

opnsense ldap authentication

Haga clic en el botón Guardar para finalizar la configuración.

En nuestro ejemplo, configuramos la autenticación del servidor LDAP en el firewall OPNsense.

OPNsense – Prueba de la autenticación LDAP

Acceda al menú Sistema Opnsense, acceda al submenú Acceso y seleccione la opción Probador.

Seleccione el servidor de autenticación LDAP.

Ingrese el nombre de usuario del administrador, su contraseña y haga clic en el botón de la prueba.

Si la prueba se realiza correctamente, debería ver el siguiente mensaje.

opnsense ldap authentication test

¡Felicitaciones! La autenticación LDAP de OPNsense en Active Directory se configuró correctamente.

OPNsense – Permiso de grupo LDAP

Acceda al menú Sistema Opnsense, acceda al submenú Acceso y seleccione la opción Grupos.

opnsense servers menu

Agregue un nuevo grupo local en el firewall OPNsense.

En la pantalla Creación de grupos, realice la siguiente configuración:

• Nombre del grupo – opnsense-admins
• Descripción – Grupo Ldap
• Miembro de – opcionalmente puede agregar la cuenta de usuario raíz.

Haga clic en el botón Guardar, se le enviará de vuelta a la pantalla de configuración del grupo.

opnsense radius group

Ahora, debe editar los permisos del grupo opnsense-admins.

En las propiedades del grupo opnsense-admins, busque el área Privilegios asignados y haga clic en el botón Agregar.

En el área Privilegio de grupo, realice la siguiente configuración:

• Privilegios asignados – GUI – TODAS LAS páginas

opnsense group permission

Haga clic en el botón Guardar para finalizar la configuración.

OPNsense – Permiso de usuario LDAP

OPNsense requiere que todas las cuentas de usuario Ldap existan en la base de datos local para realizar la configuración de autorización adecuada.

Vamos a agregar la cuenta de usuario administrador a la base de datos local.

Vamos a configurar la cuenta local denominada miembro administrador del grupo opnsense-admins.

Acceda al menú Sistema Opnsense, acceda al submenú Acceso y seleccione la opción Usuarios.

opnsense servers menu

Agregue una nueva cuenta de usuario local con el mismo nombre de usuario de la cuenta de Active Directory.

opnsense radius user

Haga que esta cuenta de usuario sea miembro del grupo opnsense-admins.

opnsense radius user group

Haga clic en el botón Guardar para finalizar la configuración.

OPNsense – Habilite la autenticación LDAP

Acceda al menú Sistema Opnsense, acceda al submenú Configuración y seleccione la opción Administración.

opnsense administration menu

Localice el área de autenticación, seleccione la autenticación LDAP y haga clic en el botón Save (Guardar).

opnsense ldap active directory

Opcionalmente, seleccione la base de datos local como segundo método de autenticación.

Después de finalizar la configuración, debe cerrar la sesión de la interfaz web de Opnsense.

Intente iniciar sesión con el usuario administrador y la contraseña de la base de datos de Active Directory.

En la pantalla de inicio de sesión, utilice el usuario administrador y la contraseña de la base de datos de Active Directory.

• Username: admin
• Contraseña: Introduzca la contraseña de Active Directory.

opnsense login

¡Felicitaciones! Ha configurado la autenticación OPNsense para utilizar la base de datos de Active Directory mediante LDAP.