Haluatko oppia määrittämään PFsense LDAP -todennuksen Active Directoryssa? Tässä opetusohjelmassa näytämme, miten PFSense-käyttäjät todennetaan Microsoft Windowsin Active Directory -tietokannan ja LDAP-protokollan avulla.
• Pfsense 2.4.4-p3
PFsenseen liittyvä opetusohjelma:
Tällä sivulla tarjoamme nopean pääsyn luetteloon opetusohjelmia, jotka liittyvät pfSense.
Opetusohjelma Windows - Toimialueen ohjauskoneen palomuuri
Ensinnäkin meidän on luotava palomuurisääntö Windows-toimialueen ohjauskoneeseen.
Tämän palomuurisäännön avulla Pfsense-palvelin voi tehdä kyselyn Active Directory -tietokannasta.
Avaa toimialueen ohjauskoneessa sovellus nimeltä Windowsin laajennettu palomuuri
Luo uusi saapuvan liikenteen palomuurisääntö.
Valitse PORT-vaihtoehto.
Valitse TCP-vaihtoehto.
Valitse Tietyt paikalliset portit -vaihtoehto.
Kirjoita TCP-portti 389.
Valitse Salli yhteys -vaihtoehto.
Valitse DOMAIN(TOIMIALUE-vaihtoehto).
Valitse YKSITYINEN-vaihtoehto.
Tarkista JULKINEN-vaihtoehto.
Kirjoita palomuurisäännön kuvaus.
Onnittelut, olet luonut vaaditun palomuurisäännön.
Tämän säännön avulla Pfsense voi tehdä kyselyn Active Directory -tietokannasta.
Opetusohjelma Windows - Toimialuetilin luominen
Seuraavaksi meidän on luotava vähintään kaksi tiliä Active Directory -tietokantaan.
ADMIN-tiliä käytetään Pfsense-verkkorajapintaan kirjautumiseen.
BIND-tiliä käytetään Active Directory -tietokannan kyselyihin.
Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet
Luo uusi tili Käyttäjät-säilöön.
Luo uusi tili nimeltä: admin
Admin-käyttäjälle määritetty salasana: 123qwe.
Tätä tiliä käytetään pfsense-web-käyttöliittymän järjestelmänvalvojana todentamista varten.
Luo uusi tili nimeltä: bind
BIND-käyttäjälle määritetty salasana: 123qwe.
Tätä tiliä käytetään Active Directory -tietokantaan tallennettujen salasanojen kyselyyn.
Onnittelut, olet luonut tarvittavat Active Directory -tilit.
Opetusohjelma Windows - Toimialueryhmän luominen
Seuraavaksi meidän on luotava vähintään yksi ryhmä Active Directory -tietokantaan.
Avaa toimialueen ohjauskoneessa sovellus nimeltä: Active Directoryn käyttäjät ja tietokoneet
Luo uusi ryhmä Käyttäjät-säilöön.
Luo uusi ryhmä nimeltä: pfsense-admin
Tämän ryhmän jäsenillä on järjestelmänvalvojan oikeudet PFsense-verkkorajapintaan.
Tärkeää! Lisää järjestelmänvalvojan käyttäjä pfsense-admin-ryhmän jäseneksi.
Onnittelut, olet luonut tarvittavan Active Directory -ryhmän.
PFSense - LDAP-todennus Active Directoryssa
Avaa selainohjelmisto, kirjoita Pfsense-palomuurin IP-osoite ja käytä web-käyttöliittymää.
Esimerkissämme selaimeen syötettiin seuraava URL-osoite:
• https://192.168.15.11
Pfsense-verkkorajapinta on esitettävä.
Kirjoita kehotenäyttöön Pfsensen oletussalasanan kirjautumistiedot.
• Käyttäjätunnus: admin
• Salasana: pfsense
Onnistuneen kirjautumisen jälkeen sinut lähetetään Pfsensen koontinäyttöön.
Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.
Siirry Käyttäjien hallinta -näytössä Todennuspalvelimet-välilehteen ja napsauta Lisää-painiketta.
Suorita Palvelimen asetukset -alueessa seuraavat määritykset:
• Kuvausnimi: ACTIVE DIRECTORY
• Tyyppi: LDAP
Suorita LDAP Serverin asetusalueella seuraavat määritykset:
• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled
Ip-osoite on muutettava toimialueen ohjauskoneen IP-osoitteeksi.
Toimialueen tietoja on muutettava verkkoympäristöäsi vastaavat tiedot.
Sidontatunnuksia on muutettava verkkoympäristön mukaan.
Viimeistele määritys napsauttamalla Tallenna-painiketta.
Esimerkissämme konfiguroimme Ldap-palvelimen todennuksen PFSense-tuliaallossa.
PFSense - Active Directory -todennuksen testaaminen
Avaa Pfsense Diagnostics -valikko ja valitse Todennus-vaihtoehto.
Valitse Active Directory -todennuspalvelin.
Kirjoita järjestelmänvalvojan käyttäjänimi, sen salasana ja napsauta Testaa-painiketta.
Jos testi onnistuu, näyttöön pitäisi tulla seuraava sanoma.
Onnittelen! Active Directoryn PFsense LDAP -palvelintodennus on määritetty onnistuneesti.
PFSense - Active Directory -ryhmän käyttöoikeudet
Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.
Siirry Käyttäjien hallinta -näytössä Ryhmät-välilehteen ja napsauta Lisää-painiketta.
Suorita Ryhmän luominen -näytössä seuraavat määritykset:
• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group
Napsauta Tallenna-painiketta, sinut lähetetään takaisin ryhmän kokoonpanonäyttöön.
Nyt sinun on muokattava pfsense-admin-ryhmän käyttöoikeuksia.
Etsi pfsense-admin-ryhmän ominaisuuksista Määritetyt oikeudet -alue ja napsauta Lisää-painiketta.
Suorita Ryhmän oikeus -alueella seuraavat määritykset:
• Assigned privileges - WebCfg - All pages
Viimeistele määritys napsauttamalla Tallenna-painiketta.
PFSense - Ota Active Directory -todennus käyttöön
Avaa Pfsense System -valikko ja valitse Käyttäjien hallinta -vaihtoehto.
Siirry Käyttäjien hallinta -näytön Asetukset-välilehteen.
Valitse Asetukset-näytössä Active Directory -todennuspalvelin.
Napsauta Tallenna ja testaa -painiketta.
Kun olet viimeistelty kokoonpano, kirjaudu ulos Pfsense-verkkoliittymästä.
Yritä kirjautua sisään järjestelmänvalvojan käyttäjällä ja salasanalla Active Directory -tietokannasta.
Käytä kirjautumisnäytössä järjestelmänvalvojan käyttäjää ja Active Directory -tietokannan salasanaa.
• Käyttäjänimi: Admin
• Salasana: Anna Active directory -salasana.
Onnittelen! Olet määrittänyt PFSense-todennuksen käyttämään Active Directory -tietokantaa.