Haluatko oppia määrittämään PFsense LDAP -todennuksen Active Directoryssa? Tässä opetusohjelmassa näytämme, miten PFSense-käyttäjät todennetaan Microsoft Windowsin Active Directory -tietokannan ja LDAP-protokollan avulla.

• Pfsense 2.4.4-p3

Opetusohjelma Windows – Toimialueen ohjauskoneen palomuuri

Ensinnäkin meidän on luotava palomuurisääntö Windows-toimialueen ohjauskoneeseen.

Tämän palomuurisäännön avulla Pfsense-palvelin voi tehdä kyselyn Active Directory -tietokannasta.

Avaa toimialueen ohjauskoneessa sovellus nimeltä Windowsin laajennettu palomuuri

Luo uusi saapuvan liikenteen palomuurisääntö.

Valitse PORT-vaihtoehto.

Valitse TCP-vaihtoehto.

Valitse Tietyt paikalliset portit -vaihtoehto.

Kirjoita TCP-portti 389.

Valitse Salli yhteys -vaihtoehto.

Valitse DOMAIN(TOIMIALUE-vaihtoehto).

Valitse YKSITYINEN-vaihtoehto.

Tarkista JULKINEN-vaihtoehto.

Kirjoita palomuurisäännön kuvaus.

Onnittelut, olet luonut vaaditun palomuurisäännön.

Tämän säännön avulla Pfsense voi tehdä kyselyn Active Directory -tietokannasta.

Opetusohjelma Windows – Toimialuetilin luominen

Seuraavaksi meidän on luotava vähintään kaksi tiliä Active Directory -tietokantaan.

ADMIN-tiliä käytetään Pfsense-verkkorajapintaan kirjautumiseen.

BIND-tiliä käytetään Active Directory -tietokannan kyselyihin.

Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet

Luo uusi tili Käyttäjät-säilöön.

Luo uusi tili nimeltä: admin

Admin-käyttäjälle määritetty salasana: 123qwe.

Tätä tiliä käytetään pfsense-web-käyttöliittymän järjestelmänvalvojana todentamista varten.

Luo uusi tili nimeltä: bind

BIND-käyttäjälle määritetty salasana: 123qwe.

Tätä tiliä käytetään Active Directory -tietokantaan tallennettujen salasanojen kyselyyn.

Onnittelut, olet luonut tarvittavat Active Directory -tilit.

Opetusohjelma Windows – Toimialueryhmän luominen

Seuraavaksi meidän on luotava vähintään yksi ryhmä Active Directory -tietokantaan.

Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet

Luo uusi ryhmä Käyttäjät-säilöön.

Luo uusi ryhmä nimeltä: pfsense-admin

Tämän ryhmän jäsenillä on järjestelmänvalvojan oikeudet PFsense-verkkorajapintaan.

Tärkeää! Lisää järjestelmänvalvojan käyttäjä pfsense-admin-ryhmän jäseneksi.

Onnittelut, olet luonut tarvittavan Active Directory -ryhmän.

PFSense – LDAP-todennus Active Directoryssa

Avaa selainohjelmisto, kirjoita Pfsense-palomuurin IP-osoite ja käytä web-käyttöliittymää.

Esimerkissämme selaimeen syötettiin seuraava URL-osoite:

• https://192.168.15.11

Pfsense-verkkorajapinta on esitettävä.

Kirjoita kehotenäyttöön Pfsensen oletussalasanan kirjautumistiedot.

• Käyttäjätunnus: admin
• Salasana: pfsense

Onnistuneen kirjautumisen jälkeen sinut lähetetään Pfsensen koontinäyttöön.

Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.

Siirry Käyttäjien hallinta -näytössä Todennuspalvelimet-välilehteen ja napsauta Lisää-painiketta.

Suorita Palvelimen asetukset -alueessa seuraavat määritykset:

• Kuvausnimi: ACTIVE DIRECTORY
• Tyyppi: LDAP

Suorita LDAP Serverin asetusalueella seuraavat määritykset:

• Hostname or IP address – 192.168.15.10
• Port value – 389
• Transport – TCP – Standard
• Protocol version – 3
• Server Timeout – 25
• Search Scope – Entire Subtree
• Base DN – dc=tech,dc=local
• Authentication containers – CN=Users,DC=tech,DC=local
• Extended query – Disabled
• Bind anonymous – Disabled
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password – Password of the BIND user account
• Initial Template – Microsoft AD
• User naming attribute – samAccountName
• Group naming attribute – cn
• Group member attribute – memberOf
• RFC 2307 Groups – Disabled
• Group Object Class – posixGroup
• UTF8 Encode – Disabled
• Username Alterations – Disabled

Ip-osoite on muutettava toimialueen ohjauskoneen IP-osoitteeksi.

Toimialueen tietoja on muutettava verkkoympäristöäsi vastaavat tiedot.

Sidontatunnuksia on muutettava verkkoympäristön mukaan.

Viimeistele määritys napsauttamalla Tallenna-painiketta.

Esimerkissämme konfiguroimme Ldap-palvelimen todennuksen PFSense-tuliaallossa.

PFSense – Active Directory -todennuksen testaaminen

Avaa Pfsense Diagnostics -valikko ja valitse Todennus-vaihtoehto.

Valitse Active Directory -todennuspalvelin.

Kirjoita järjestelmänvalvojan käyttäjänimi, sen salasana ja napsauta Testaa-painiketta.

Jos testi onnistuu, näyttöön pitäisi tulla seuraava sanoma.

Onnittelen! Active Directoryn PFsense LDAP -palvelintodennus on määritetty onnistuneesti.

PFSense – Active Directory -ryhmän käyttöoikeudet

Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.

Siirry Käyttäjien hallinta -näytössä Ryhmät-välilehteen ja napsauta Lisää-painiketta.

Suorita Ryhmän luominen -näytössä seuraavat määritykset:

• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group

Napsauta Tallenna-painiketta, sinut lähetetään takaisin ryhmän kokoonpanonäyttöön.

Nyt sinun on muokattava pfsense-admin-ryhmän käyttöoikeuksia.

Etsi pfsense-admin-ryhmän ominaisuuksista Määritetyt oikeudet -alue ja napsauta Lisää-painiketta.

Suorita Ryhmän oikeus -alueella seuraavat määritykset:

• Assigned privileges – WebCfg – All pages

Viimeistele määritys napsauttamalla Tallenna-painiketta.

PFSense – Ota Active Directory -todennus käyttöön

Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.

Siirry Käyttäjien hallinta -näytön Asetukset-välilehteen.

Valitse Asetukset-näytössä Active Directory -todennuspalvelin.

Napsauta Tallenna ja testaa -painiketta.

Kun olet viimeistelty kokoonpano, kirjaudu ulos Pfsense-verkkoliittymästä.

Yritä kirjautua sisään järjestelmänvalvojan käyttäjällä ja salasanalla Active Directory -tietokannasta.

Käytä kirjautumisnäytössä järjestelmänvalvojan käyttäjää ja Active Directory -tietokannan salasanaa.

• Käyttäjänimi: Admin
• Salasana: Anna Active directory -salasana.

Onnittelen! Olet määrittänyt PFSense-todennuksen käyttämään Active Directory -tietokantaa.