Souhaitez-vous apprendre comment configurer l’authentification OPNsense LDAP sur le répertoire Active ? Dans ce tutoriel, nous allons vous montrer comment authentifier les utilisateurs OPNsense en utilisant la base de données d’annuaire active de Microsoft Windows et le protocole LDAP.

OPNsense 19,7

Liste des équipements

La section suivante présente la liste des équipements utilisés pour créer ce didacticiel.

En tant qu’associé Amazon, je gagne des achats admissibles.

Tutorial – Pare-feu windows Domain Controller

Tout d’abord, nous devons créer une règle de pare-feu sur le contrôleur de domaine Windows.

Cette règle de pare-feu permettra au serveur Opnsense d’interroger la base de données d’annuaire active.

Sur le contrôleur de domaine, ouvrez l’application nommée Windows Firewall avec Advanced Security

Créez une nouvelle règle de pare-feu entrant.

zabbix active directory

Sélectionnez l’option PORT.

zabbix windows firewall port

Sélectionnez l’option TCP.

Sélectionnez l’option Ports locaux spécifiques.

Entrez dans le port TCP 389.

zabbix windows firewall port ldap

Sélectionnez l’option Autoriser l’option de connexion.

zabbix windows firewall allow connection

Vérifiez l’option DOMAIN.

Vérifiez l’option PRIVATE.

Vérifiez l’option PUBLIC.

Zabbix windows firewall profile

Entrez une description de la règle du pare-feu.

windows firewall active directory

Félicitations, vous avez créé la règle de pare-feu requise.

Cette règle permettra à Opnsense d’interroger la base de données active.

Tutorial – Création de compte de domaine Windows

Ensuite, nous devons créer au moins 2 comptes sur la base de données d’annuaire active.

Le compte ADMIN sera utilisé pour se connecter à l’interface web Opnsense.

Le compte BIND sera utilisé pour interroger la base de données Active Directory.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.

Zabbix active directory account

Créer un nouveau compte nommé : admin

Mot de passe configuré pour l’utilisateur ADMIN: 123qwe..

Ce compte sera utilisé pour authentifier en tant qu’administrateur sur l’interface web Opnsense.

active directory admin account
zabbix active directory admin properties

Créer un nouveau compte nommé : lier

Mot de passe configuré pour l’utilisateur BIND: 123qwe..

Ce compte sera utilisé pour interroger les mots de passe stockés dans la base de données Active Directory.

active directory bind account
zabbix active directory ldap bind properties

Félicitations, vous avez créé les comptes Active directory requis.

OPNsense – OPNsense LDAP Authentification sur l’annuaire actif

Ouvrez un logiciel de navigateur, entrez l’adresse IP de votre pare-feu Opnsense et accédez à l’interface Web.

Dans notre exemple, l’URL suivante a été saisie dans le navigateur :

https://192.168.15.11

L’interface web opnsense doit être présentée.

opnsense login

Sur l’écran rapide, entrez les informations de connexion OPNsense Default Password.

• Username: root
Mot de passe : Mot de passe réglé pendant OPNsense l’installation

Après une connexion réussie, vous serez envoyé au tableau de bord OPNSense.

opnsense dashboard

Accédez au menu Opnsense System, accédez au sous-menu Access et sélectionnez l’option Serveurs.

opnsense servers menu

Cliquez sur le bouton Ajouter et effectuez la configuration suivante.

Nom descriptif : LDAP
Type: LDAP
Nom d’hôte ou adresse IP – 34.212.170.252
Valeur du port – 389
Transport – TCP Standard
Version protocole – 3
– Bind credentials – CN-bind,CN-Users,DC-tech,DC-local
– Bind credentials Password – 123qwe.
Portée de recherche – Sous-arbre entier
Base DN – DC-tech, DC-local
Conteneurs d’authentification – CN-Utilisateurs,DC-TECH,DC-LOCAL
Modèle initial – Microsoft AD
Attribut de nommage de l’utilisateur – sAMAccountName
Lire les propriétés
Synchroniser les groupes
– Limiter les groupes

Vous devez changer l’adresse IP à votre contrôleur de domaine IP.

Vous devez modifier les informations de domaine pour refléter votre environnement réseau.

Vous devez modifier les informations d’identification de liaison pour refléter votre environnement réseau.

opnsense ldap authentication

Cliquez sur le bouton Enregistrer pour terminer la configuration.

Dans notre exemple, nous avons configuré l’authentification du serveur LDAP sur le pare-feu OPNsense.

OPNsense – Test de l’authentification LDAP

Accédez au menu Opnsense System, accédez au sous-menu Access et sélectionnez l’option Testeur.

Sélectionnez le serveur d’authentification LDAP.

Entrez le nom d’utilisateur Admin, son mot de passe et cliquez sur le bouton Test.

Si votre test réussit, vous devriez voir le message suivant.

opnsense ldap authentication test

félicitations! Votre authentification OPNsense LDAP sur l’annuaire Active a été configurée avec succès.

OPNsense – Autorisation du groupe LDAP

Accédez au menu Opnsense System, accédez au sous-menu Access et sélectionnez l’option Groupes.

opnsense servers menu

Ajoutez un nouveau groupe local sur le pare-feu OPNsense.

Sur l’écran de création du Groupe, effectuez la configuration suivante :

Nom du groupe – opnsense-admins
Description – Groupe Ldap
– Membre de – en option, vous pouvez ajouter le compte utilisateur racine.

Cliquez sur le bouton Enregistrer, vous serez renvoyé à l’écran de configuration du groupe.

opnsense radius group

Maintenant, vous devez modifier les autorisations du groupe opnsense-admins.

Sur les propriétés du groupe opnsense-admins, localisez la zone Privilèges attribués et cliquez sur le bouton Ajouter.

Sur la zone privilège du Groupe, effectuez la configuration suivante :

Privilèges attribués – GUI – TOUTES les pages

opnsense group permission

Cliquez sur le bouton Enregistrer pour terminer la configuration.

OPNsense – Permission d’utilisateur LDAP

OPNsense exige que tous les comptes d’utilisateurs Ldap existent dans la base de données locale pour effectuer la configuration d’autorisation appropriée.

Nous allons ajouter le compte d’utilisateur admin à la base de données locale.

Nous allons configurer le compte local nommé membre admin du groupe opnsense-admins.

Accédez au menu Opnsense System, accédez au sous-menu Access et sélectionnez l’option Utilisateurs.

opnsense servers menu

Ajoutez un nouveau compte d’utilisateur local en utilisant le même nom d’utilisateur à partir du compte d’annuaire Active.

opnsense radius user

Faites de ce compte utilisateur un membre du groupe opnsense-admins.

opnsense radius user group

Cliquez sur le bouton Enregistrer pour terminer la configuration.

OPNsense – Activer l’authentification LDAP

Accédez au menu Opnsense System, accédez au sous-menu Paramètres et sélectionnez l’option Administration.

opnsense administration menu

Localisez la zone d’authentification, sélectionnez l’authentification LDAP et cliquez sur le bouton Enregistrer.

opnsense ldap active directory

En option, sélectionnez la base de données locale comme deuxième méthode d’authentification.

Après avoir terminé votre configuration, vous devez déconnecter l’interface web Opnsense.

Essayez de vous connecter à l’aide de l’utilisateur de l’administrateur et du mot de passe de la base de données Active Directory.

Sur l’écran de connexion, utilisez l’utilisateur d’administration et le mot de passe de la base de données Active Directory.

• Username: admin
• Mot de passe : Entrez le mot de passe de Active directory.

opnsense login

félicitations! Vous avez configuré l’authentification OPNsense pour utiliser la base de données d’annuaire active à l’aide de LDAP.