Haluatko oppia määrittämään PFsense Active directory -todennuksen Radiusin avulla? Tässä opetusohjelmassa näytämme, miten Voit todentaa PfSense-käyttäjät Active Directory -tietokannassa Radius-protokollan avulla.

• Pfsense 2.4.4-p3
• Windows 2012 R2

Opetusohjelma – Radius Serverin asennus Windowsiin

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL

Avaa Server Manager -sovellus.

Siirry Hallinta-valikkoon ja napsauta Lisää rooleja ja ominaisuuksia.

Avaa Palvelinroolit-näyttö, valitse Verkkokäytäntö ja Käyttöpalvelu -vaihtoehto.

Napsauta Seuraava-painiketta.

Napsauta seuraavassa näytössä Lisää ominaisuuksia -painiketta.

Napsauta Roolipalvelu-näytössä Seuraava-painiketta.

Napsauta seuraavassa näytössä Asenna-painiketta.

Olet lopettanut Radius-palvelimen asennuksen Windows 2012:een.

Opetusohjelman sädepalvelin – Active Directory -integrointi

Seuraavaksi meidän on luotava vähintään yksi tili Active Directory -tietokantaan.

ADMIN-tiliä käytetään Pfsense-verkkorajapintaan kirjautumiseen.

Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet

Luo uusi tili Käyttäjät-säilöön.

Luo uusi tili nimeltä: admin

Admin-käyttäjälle määritetty salasana: 123qwe.

Tätä tiliä käytetään pfsense-web-käyttöliittymän järjestelmänvalvojana todentamista varten.

Onnittelut, olet luonut tarvittavat Active Directory -tilit.

Seuraavaksi meidän on luotava vähintään yksi ryhmä Active Directory -tietokantaan.

Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet

Luo uusi ryhmä Käyttäjät-säilöön.

Luo uusi ryhmä nimeltä: pfsense-admin

Tämän ryhmän jäsenillä on järjestelmänvalvojan oikeudet PFsense-verkkorajapintaan.

Tärkeää! Lisää järjestelmänvalvojan käyttäjä pfsense-admin-ryhmän jäseneksi.

Onnittelut, olet luonut tarvittavan Active Directory -ryhmän.

Opetusohjelma – Windows-toimialueen ohjauskoneen palomuuri

Windows-toimialueen ohjauskoneeseen on luotava palomuurisääntö.

Tämän palomuurisäännön avulla Pfsense-palvelin voi tehdä kyselyn Active Directory -tietokannasta.

Avaa toimialueen ohjauskoneessa sovellus nimeltä Windowsin laajennettu palomuuri

Luo uusi saapuvan liikenteen palomuurisääntö.

Valitse PORT-vaihtoehto.

Valitse TCP-vaihtoehto.

Valitse Tietyt paikalliset portit -vaihtoehto.

Anna TCP-portti 636.

Valitse Salli yhteys -vaihtoehto.

Valitse DOMAIN(TOIMIALUE-vaihtoehto).

Valitse YKSITYINEN-vaihtoehto.

Tarkista JULKINEN-vaihtoehto.

Kirjoita palomuurisäännön kuvaus.

Onnittelut, olet luonut vaaditun palomuurisäännön.

Tämän säännön avulla Pfsense voi tehdä kyselyn Active Directory -tietokannasta.

Opetusohjelman sädepalvelin – Lisää asiakaslaitteita

Avaa Radius-palvelimessa sovellus nimeltä: Verkkokäytäntöpalvelin

Sinun on valtuutettävä Active directory -tietokannan Radius-palvelin.

Napsauta hiiren kakkospainikkeella NPS(LOCAL) ja valitse Rekisteröi palvelin Active Directoryssa -vaihtoehto.

Napsauta vahvistusnäytössä OK-painiketta.

Seuraavaksi sinun on määritettävä Radius-asiakkaat.

Sädeasiakkaat ovat laitteita, jotka voivat pyytää todennusta Radius-palvelimelta.

Tärkeää! Älä sekoita Radius-asiakkaita Radius-käyttäjiin.

Napsauta Hiiren kakkospainikkeella Radius Clients -kansiota ja valitse Uusi-vaihtoehto.

Tässä on esimerkki asiakkaasta, joka on määritetty sallimaan Pfsensen palomuurin muodostaa yhteys Radius-palvelimeen.

Sinun on asetettava seuraavat määritykset:

• Laitteen kutsuman nimi – Lisää kuvaus Pfsenseen
• Laitteen IP-osoite – PDF-palomuurin IP-osoite
• Laitteen jaettu salaisuus – kamisama123

Jaettua salaisuutta käytetään valtuuttamaan laite käyttämään Radius-palvelinta.

Olet saanut Radius-asiakasmäärityksen valmiiksi.

Opetusohjelman sädepalvelin – Verkkokäytännön määrittäminen

Nyt sinun on luotava verkkopolititeetti todennuksen sallimiseksi.

Napsauta Verkkokäytännöt-kansiota hiiren kakkospainikkeella ja valitse Uusi-vaihtoehto.

Kirjoita verkkokäytännön nimi ja napsauta Seuraava-painiketta.

Napsauta Lisää ehto -painiketta.

Annamme PFSENSE-ADMIN-ryhmän jäsenten todentaa.

Valitse Käyttäjäryhmä-vaihtoehto ja napsauta Lisää-painiketta.

Napsauta Lisää ryhmiä -painiketta ja etsi PFSENSE-ADMIN-ryhmä.

Valitse Accessin myöntämä vaihtoehto ja napsauta Seuraava-painiketta.

Näin PFSENSE-ADMIN-ryhmän jäsenet voivat todentaa Radius-palvelimessa.

Valitse Todennusmenetelmät-näytössä Salaamaton todennus (PAP, SPAP) -vaihtoehto.

Jos seuraava varoitus tulee näyttöön, napsauta Ei-painiketta.

Valitse Radius-kokoonpanonäytössä Vakiosädemäärite-vaihtoehto ja napsauta Lisää-painiketta

Valitse Luokka-määrite ja napsauta Lisää-painiketta.

Valitse Merkkijono-vaihtoehto ja kirjoita aiemmin luomamme Aktiiviset-ryhmän kymmenen nimeä.

Esimerkissämme loimme Active Directory -ryhmän nimeltä PFSENSE-ADMIN.

NPS Radius -palvelin välittää luokkatiedot takaisin PFsense-palomuuriin.

Pfsense-palomuuri määrittää käyttäjän pfsense-admin-ryhmän jäseneksi luokkatietojen avulla.

Muista, että pfsense-admin-ryhmän on oltava active directoryssa ja myös Pfsensen palomuurissa.

Tarkista Radius-palvelimen kokoonpanoyhteenveto ja napsauta Valmis-painiketta.

Onnittelen! Radius-palvelimen määritys on valmis.

PFSense – PFSense Radius -todennus Active Directoryssa

Avaa selainohjelmisto, kirjoita Pfsense-palomuurin IP-osoite ja käytä web-käyttöliittymää.

Esimerkissämme selaimeen syötettiin seuraava URL-osoite:

• https://192.168.15.11

Pfsense-verkkorajapinta on esitettävä.

Kirjoita kehotenäyttöön Pfsensen oletussalasanan kirjautumistiedot.

• Käyttäjätunnus: admin
• Salasana: pfsense

Onnistuneen kirjautumisen jälkeen sinut lähetetään Pfsensen koontinäyttöön.

Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.

Siirry Käyttäjien hallinta -näytössä Todennuspalvelimet-välilehteen ja napsauta Lisää-painiketta.

Suorita Palvelimen asetukset -alueessa seuraavat määritykset:

• Kuvausnimi: ACTIVE DIRECTORY
• Tyyppi: RADIUS

Suorita RADIUS Serverin asetusalueella seuraavat määritykset:

• Protokolla – PAP
• Hostname or IP address – 192.168.15.10
• Jaettu salaisuus – Sädeasiakas jakoi salaisuuden (kamisama123)
• Tarjotut palvelut – Todennus ja kirjanpito
• Todennusportti – 1812
• Kirousportti – 1813
• Todennuksen aikakatkaisu – 5

Radius-palvelimen IP-osoite on muutettava.

Sinun on muutettava jaettu salaisuus vastaamaan Radius-asiakkaasi jaettua salaisuutta.

Viimeistele määritys napsauttamalla Tallenna-painiketta.

Esimerkissämme määritettiin Radius-palvelimen todennus PFSense-palomuurissa.

PFSense Radius – Active Directory -todennuksen testaaminen

Avaa Pfsense Diagnostics -valikko ja valitse Todennus-vaihtoehto.

Valitse Active Directory -todennuspalvelin.

Kirjoita järjestelmänvalvojan käyttäjänimi, sen salasana ja napsauta Testaa-painiketta.

Jos testi onnistuu, näyttöön pitäisi tulla seuraava sanoma.

Onnittelen! Active Directoryn PFsense Radius -palvelimen todennus on määritetty onnistuneesti.

PFSense – Active Directory -ryhmän käyttöoikeudet

Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.

Siirry Käyttäjien hallinta -näytössä Ryhmät-välilehteen ja napsauta Lisää-painiketta.

Suorita Ryhmän luominen -näytössä seuraavat määritykset:

• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group

Napsauta Tallenna-painiketta, sinut lähetetään takaisin ryhmän kokoonpanonäyttöön.

Nyt sinun on muokattava pfsense-admin-ryhmän käyttöoikeuksia.

Etsi pfsense-admin-ryhmän ominaisuuksista Määritetyt oikeudet -alue ja napsauta Lisää-painiketta.

Suorita Ryhmän oikeus -alueella seuraavat määritykset:

• Assigned privileges – WebCfg – All pages

Viimeistele määritys napsauttamalla Tallenna-painiketta.

PFSense – Ota Active Directory -todennus käyttöön

Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.

Siirry Käyttäjien hallinta -näytön Asetukset-välilehteen.

Valitse Asetukset-näytössä Active Directory -todennuspalvelin.

Napsauta Tallenna ja testaa -painiketta.

Kun olet viimeistelty kokoonpano, kirjaudu ulos Pfsense-verkkoliittymästä.

Yritä kirjautua sisään järjestelmänvalvojan käyttäjällä ja salasanalla Active Directory -tietokannasta.

Käytä kirjautumisnäytössä järjestelmänvalvojan käyttäjää ja Active Directory -tietokannan salasanaa.

• Käyttäjätunnus: admin
• Salasana: Anna Active directory -salasana.

Onnittelen! Olet määrittänyt PFSense-todennuksen käyttämään Active Directory -tietokantaa.