Haluatko oppia määrittämään PFsense LDAP -todennuksen Active Directoryssa? Tässä opetusohjelmassa näytämme, miten PFSense-käyttäjät todennetaan Microsoft Windowsin Active Directory -tietokannan ja LDAP-protokollan avulla.
• Pfsense 2.4.4-p3
PFsenseen liittyvä opetusohjelma:
Tällä sivulla tarjoamme nopean pääsyn luetteloon opetusohjelmia, jotka liittyvät pfSense.
Opetusohjelma Windows – Toimialueen ohjauskoneen palomuuri
Ensinnäkin meidän on luotava palomuurisääntö Windows-toimialueen ohjauskoneeseen.
Tämän palomuurisäännön avulla Pfsense-palvelin voi tehdä kyselyn Active Directory -tietokannasta.
Avaa toimialueen ohjauskoneessa sovellus nimeltä Windowsin laajennettu palomuuri
Luo uusi saapuvan liikenteen palomuurisääntö.
Valitse PORT-vaihtoehto.
Valitse TCP-vaihtoehto.
Valitse Tietyt paikalliset portit -vaihtoehto.
Kirjoita TCP-portti 389.
Valitse Salli yhteys -vaihtoehto.
Valitse DOMAIN(TOIMIALUE-vaihtoehto).
Valitse YKSITYINEN-vaihtoehto.
Tarkista JULKINEN-vaihtoehto.
Kirjoita palomuurisäännön kuvaus.
Onnittelut, olet luonut vaaditun palomuurisäännön.
Tämän säännön avulla Pfsense voi tehdä kyselyn Active Directory -tietokannasta.
Opetusohjelma Windows – Toimialuetilin luominen
Seuraavaksi meidän on luotava vähintään kaksi tiliä Active Directory -tietokantaan.
ADMIN-tiliä käytetään Pfsense-verkkorajapintaan kirjautumiseen.
BIND-tiliä käytetään Active Directory -tietokannan kyselyihin.
Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet
Luo uusi tili Käyttäjät-säilöön.
Luo uusi tili nimeltä: admin
Admin-käyttäjälle määritetty salasana: 123qwe.
Tätä tiliä käytetään pfsense-web-käyttöliittymän järjestelmänvalvojana todentamista varten.
Luo uusi tili nimeltä: bind
BIND-käyttäjälle määritetty salasana: 123qwe.
Tätä tiliä käytetään Active Directory -tietokantaan tallennettujen salasanojen kyselyyn.
Onnittelut, olet luonut tarvittavat Active Directory -tilit.
Opetusohjelma Windows – Toimialueryhmän luominen
Seuraavaksi meidän on luotava vähintään yksi ryhmä Active Directory -tietokantaan.
Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet
Luo uusi ryhmä Käyttäjät-säilöön.
Luo uusi ryhmä nimeltä: pfsense-admin
Tämän ryhmän jäsenillä on järjestelmänvalvojan oikeudet PFsense-verkkorajapintaan.
Tärkeää! Lisää järjestelmänvalvojan käyttäjä pfsense-admin-ryhmän jäseneksi.
Onnittelut, olet luonut tarvittavan Active Directory -ryhmän.
PFSense – LDAP-todennus Active Directoryssa
Avaa selainohjelmisto, kirjoita Pfsense-palomuurin IP-osoite ja käytä web-käyttöliittymää.
Esimerkissämme selaimeen syötettiin seuraava URL-osoite:
• https://192.168.15.11
Pfsense-verkkorajapinta on esitettävä.
Kirjoita kehotenäyttöön Pfsensen oletussalasanan kirjautumistiedot.
• Käyttäjätunnus: admin
• Salasana: pfsense
Onnistuneen kirjautumisen jälkeen sinut lähetetään Pfsensen koontinäyttöön.
Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.
Siirry Käyttäjien hallinta -näytössä Todennuspalvelimet-välilehteen ja napsauta Lisää-painiketta.
Suorita Palvelimen asetukset -alueessa seuraavat määritykset:
• Kuvausnimi: ACTIVE DIRECTORY
• Tyyppi: LDAP
Suorita LDAP Serverin asetusalueella seuraavat määritykset:
• Hostname or IP address – 192.168.15.10
• Port value – 389
• Transport – TCP – Standard
• Protocol version – 3
• Server Timeout – 25
• Search Scope – Entire Subtree
• Base DN – dc=tech,dc=local
• Authentication containers – CN=Users,DC=tech,DC=local
• Extended query – Disabled
• Bind anonymous – Disabled
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password – Password of the BIND user account
• Initial Template – Microsoft AD
• User naming attribute – samAccountName
• Group naming attribute – cn
• Group member attribute – memberOf
• RFC 2307 Groups – Disabled
• Group Object Class – posixGroup
• UTF8 Encode – Disabled
• Username Alterations – Disabled
Ip-osoite on muutettava toimialueen ohjauskoneen IP-osoitteeksi.
Toimialueen tietoja on muutettava verkkoympäristöäsi vastaavat tiedot.
Sidontatunnuksia on muutettava verkkoympäristön mukaan.
Viimeistele määritys napsauttamalla Tallenna-painiketta.
Esimerkissämme konfiguroimme Ldap-palvelimen todennuksen PFSense-tuliaallossa.
PFSense – Active Directory -todennuksen testaaminen
Avaa Pfsense Diagnostics -valikko ja valitse Todennus-vaihtoehto.
Valitse Active Directory -todennuspalvelin.
Kirjoita järjestelmänvalvojan käyttäjänimi, sen salasana ja napsauta Testaa-painiketta.
Jos testi onnistuu, näyttöön pitäisi tulla seuraava sanoma.
Onnittelen! Active Directoryn PFsense LDAP -palvelintodennus on määritetty onnistuneesti.
PFSense – Active Directory -ryhmän käyttöoikeudet
Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.
Siirry Käyttäjien hallinta -näytössä Ryhmät-välilehteen ja napsauta Lisää-painiketta.
Suorita Ryhmän luominen -näytössä seuraavat määritykset:
• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group
Napsauta Tallenna-painiketta, sinut lähetetään takaisin ryhmän kokoonpanonäyttöön.
Nyt sinun on muokattava pfsense-admin-ryhmän käyttöoikeuksia.
Etsi pfsense-admin-ryhmän ominaisuuksista Määritetyt oikeudet -alue ja napsauta Lisää-painiketta.
Suorita Ryhmän oikeus -alueella seuraavat määritykset:
• Assigned privileges – WebCfg – All pages
Viimeistele määritys napsauttamalla Tallenna-painiketta.
PFSense – Ota Active Directory -todennus käyttöön
Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.
Siirry Käyttäjien hallinta -näytön Asetukset-välilehteen.
Valitse Asetukset-näytössä Active Directory -todennuspalvelin.
Napsauta Tallenna ja testaa -painiketta.
Kun olet viimeistelty kokoonpano, kirjaudu ulos Pfsense-verkkoliittymästä.
Yritä kirjautua sisään järjestelmänvalvojan käyttäjällä ja salasanalla Active Directory -tietokannasta.
Käytä kirjautumisnäytössä järjestelmänvalvojan käyttäjää ja Active Directory -tietokannan salasanaa.
• Käyttäjänimi: Admin
• Salasana: Anna Active directory -salasana.
Onnittelen! Olet määrittänyt PFSense-todennuksen käyttämään Active Directory -tietokantaa.
