Haluatko oppia määrittämään OPNsense LDAP -todennuksen Active Directoryssa? Tässä opetusohjelmassa näytämme, miten OPNsense-käyttäjät todennetaan Microsoft Windowsin Active directory -tietokannan ja LDAP-protokollan avulla.

• OPNsense 19.7

Laiteluettelo

Seuraavassa osassa on luettelo tämän opetusohjelman luomiseen käytetyistä laitteista.

Amazon Associatena ansaitsen ehdot täyttävistä ostoksista.

Opetusohjelma – Windows-toimialueen ohjauskoneen palomuuri

Ensinnäkin meidän on luotava palomuurisääntö Windows-toimialueen ohjauskoneeseen.

Tämän palomuurisäännön avulla Opnsense-palvelin voi tehdä kyselyn Active Directory -tietokannasta.

Avaa toimialueen ohjauskoneessa sovellus nimeltä Windowsin laajennettu palomuuri

Luo uusi saapuvan liikenteen palomuurisääntö.

Valitse PORT-vaihtoehto.

Valitse TCP-vaihtoehto.

Valitse Tietyt paikalliset portit -vaihtoehto.

Kirjoita TCP-portti 389.

Valitse Salli yhteys -vaihtoehto.

Valitse DOMAIN(TOIMIALUE-vaihtoehto).

Valitse YKSITYINEN-vaihtoehto.

Tarkista JULKINEN-vaihtoehto.

Kirjoita palomuurisäännön kuvaus.

Onnittelut, olet luonut vaaditun palomuurisäännön.

Tämän säännön avulla Opnsense voi tehdä kyselyn Active Directory -tietokannasta.

Opetusohjelma – Windows-toimialuetilin luominen

Seuraavaksi meidän on luotava vähintään kaksi tiliä Active Directory -tietokantaan.

ADMIN-tiliä käytetään kirjautumaan Opnsense-verkkorajapintaan.

BIND-tiliä käytetään Active Directory -tietokannan kyselyihin.

Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet

Luo uusi tili Käyttäjät-säilöön.

Luo uusi tili nimeltä: admin

Admin-käyttäjälle määritetty salasana: 123qwe.

Tätä tiliä käytetään opnsense-web-käyttöliittymän järjestelmänvalvojana todennuksena.

Luo uusi tili nimeltä: bind

BIND-käyttäjälle määritetty salasana: 123qwe.

Tätä tiliä käytetään Active Directory -tietokantaan tallennettujen salasanojen kyselyyn.

Onnittelut, olet luonut tarvittavat Active Directory -tilit.

OPNsense – OPNsense LDAP -todennus Active Directoryssa

Avaa selainohjelmisto, kirjoita Opnsense-palomuurin IP-osoite ja käytä web-käyttöliittymää.

Esimerkissämme selaimeen syötettiin seuraava URL-osoite:

• https://192.168.15.11

Opnsense-web-käyttöliittymä on esitettävä.

Kirjoita kehotenäyttöön OPNsense Default Password -kirjautumistiedot.

• Username: root
• Salasana: Salasana asetettu opnsensin aikana asennuksen aikana

Onnistuneen kirjautumisen jälkeen sinut lähetetään OPNSense Dashboardiin.

Käytä Opnsense System -valikkoa, avaa Access-alivalikko ja valitse Palvelimet-vaihtoehto.

Napsauta Lisää-painiketta ja suorita seuraava määritys.

• Kuvaava nimi: LDAP
• Tyyppi: LDAP
• Isäntänimi tai IP-osoite – 34.212.170.252
• Port value – 389
• Kuljetus – TCP-standardi
• Protokollan versio – 3
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Sido tunnistetiedot Salasana – 123qwe.
• Etsintäalue – Koko alipuu
• Base DN – DC=tech,DC=paikallinen
• Todennussäilöt – CN=Käyttäjät,DC=TECH,DC=LOCAL
• Initial Template – Microsoft AD
• Käyttäjän nimeämismäärite – sAMAccountName
• Lue ominaisuudet
• Synkronoi ryhmät
• Rajoita ryhmiä

Ip-osoite on muutettava toimialueen ohjauskoneen IP-osoitteeksi.

Toimialueen tietoja on muutettava verkkoympäristöäsi vastaavat tiedot.

Sidontatunnuksia on muutettava verkkoympäristön mukaan.

Viimeistele määritys napsauttamalla Tallenna-painiketta.

Esimerkissämme konfiguroimme LDAP-palvelimen todennuksen OPNsense-palomuurissa.

OPNsense – LDAP-todennuksen testaaminen

Käytä Opnsense System -valikkoa, avaa Access-alivalikko ja valitse Testaaja-vaihtoehto.

Valitse LDAP-todennuspalvelin.

Kirjoita järjestelmänvalvojan käyttäjänimi, sen salasana ja napsauta Testaa-painiketta.

Jos testi onnistuu, näyttöön pitäisi tulla seuraava sanoma.

Onnittelen! Active Directoryn OPNsense LDAP -todennus on määritetty onnistuneesti.

OPNsense – LDAP-ryhmän käyttöoikeus

Käytä Opnsense System -valikkoa, avaa Access-alivalikko ja valitse Ryhmät-vaihtoehto.

Lisää uusi paikallinen ryhmä OPNsense-palomuuriin.

Suorita Ryhmän luominen -näytössä seuraavat määritykset:

• Ryhmän nimi – opnsense-admins
• Kuvaus – Ldap-ryhmä
• Jäsen – valinnaisesti voit lisätä pääkäyttäjän tilin.

Napsauta Tallenna-painiketta, sinut lähetetään takaisin ryhmän kokoonpanonäyttöön.

Nyt sinun on muokattava opnsense-admins-ryhmän käyttöoikeuksia.

Etsi opnsense-admins-ryhmän ominaisuuksista Määritetyt oikeudet -alue ja napsauta Lisää-painiketta.

Suorita Ryhmän oikeus -alueella seuraavat määritykset:

• Määritetyt oikeudet – GUI – KAIKKI sivut

Viimeistele määritys napsauttamalla Tallenna-painiketta.

OPNsense – LDAP-käyttöoikeudet

OPNsense edellyttää, että kaikki Ldap-käyttäjätilit ovat paikallisessa tietokannassa, jotta valtuutusmääritykset voidaan suorittaa oikein.

Lisäämme järjestelmänvalvojan käyttäjätilin paikalliseen tietokantaan.

Aiomme määrittää paikallisen tilin nimeltä opnsense-admins-ryhmän järjestelmänvalvojajäsen.

Käytä Opnsense System -valikkoa, avaa Access-alivalikko ja valitse Käyttäjät-vaihtoehto.

Lisää uusi paikallinen käyttäjätili samalla käyttäjätunnuksella Active Directory -tililtä.

Tee tästä käyttäjätilistä opnsense-admins-ryhmän jäsen.

Viimeistele määritys napsauttamalla Tallenna-painiketta.

OPNsense – Ota LDAP-todennus käyttöön

Avaa Opnsense System -valikko, avaa Asetukset-alivalikko ja valitse Hallinta-vaihtoehto.

Etsi todennusalue, valitse LDAP-todennus ja napsauta Tallenna-painiketta.

Voit halutessasi valita paikallisen tietokannan toiseksi todennusmenetelmäksi.

Kun olet valmis kokoonpanon, sinun tulee kirjautua ulos Opnsense-web-käyttöliittymästä.

Yritä kirjautua sisään järjestelmänvalvojan käyttäjällä ja salasanalla Active Directory -tietokannasta.

Käytä kirjautumisnäytössä järjestelmänvalvojan käyttäjää ja Active Directory -tietokannan salasanaa.

• Käyttäjätunnus: admin
• Salasana: Anna Active directory -salasana.

Onnittelen! Olet määrittänyt OPNsense-todennuksen käyttämään Active Directory -tietokantaa LDAP:n avulla.