Souhaitez-vous apprendre comment configurer l’authentification du répertoire PFsense Active à l’aide de LDAP sur SSL ? Dans ce tutoriel, nous allons vous montrer comment authentifier les utilisateurs de PFSense sur la base de données Active Directory en utilisant le protocole LDAPS pour une connexion cryptée.

Pfsense 2.4.4-p3
• Windows 2012 R2

Tutorial - Installation active d’annuaire sur Windows

IP - 192.168.15.10.
Système D’Opéra - Windows 2012 R2
• Hostname - TECH-DC01
• Active Directory Domain: TECH.LOCAL

Si vous avez déjà un domaine d’annuaire actif, vous pouvez sauter cette partie du tutoriel.

Ouvrez l’application Server Manager.

Accédez au menu Gérer et cliquez sur Ajouter des rôles et des fonctionnalités.

Windows 2012 add role

Accédez à l’écran de rôle Du serveur, sélectionnez le service de domaine d’annuaire actif et cliquez sur le bouton Suivant.

active directory installation

Sur l’écran suivant, cliquez sur le bouton Ajouter des fonctionnalités.

active directory windows installation

Continuez à cliquer sur le bouton Suivant jusqu’à ce que vous atteigniez le dernier écran.

windows install active directory

Sur l’écran de confirmation, cliquez sur le bouton Installer.

active directory installation confirmation

Attendez la fin de l’installation du répertoire Active.

active directory installation windows

Ouvrez l’application Server Manager.

Cliquez sur le menu drapeau jaune et sélectionnez l’option pour promouvoir ce serveur à un contrôleur de domaine

active directory configuration

Sélectionnez l’option d’ajouter une nouvelle forêt et d’entrer un nom de domaine racine.

Dans notre exemple, nous avons créé un nouveau domaine nommé : TECH. Local.

deployment active directory

Entrez un mot de passe pour sécuriser la restauration active du répertoire.

domain controller options

Sur l’écran d’options DNS, cliquez sur le bouton Suivant.

active directory dns options

Vérifiez le nom Netbios attribué à votre domaine et cliquez sur le bouton Suivant.

ad netbios name

Cliquez sur le bouton Suivant.

active directory paths

Examinez vos options de configuration et cliquez sur le bouton Suivant.

active directory summary

Sur l’écran Prérequis Vérifiez, cliquez sur le bouton Installer.

active directory prerequisites check

Attendez la configuration active du répertoire pour terminer.

active directory installation wizard

Après avoir terminé l’installation active de l’annuaire, l’ordinateur redémarrera automatiquement

Vous avez terminé la configuration de l’annuaire Active sur le serveur Windows.

PFSense - Test du LDAP sur la communication SSL

Nous devons vérifier si votre contrôleur de domaine offre le service LDAP sur SSL sur le port 636.

Sur le contrôleur de domaine, accédez au menu de démarrage et recherchez l’application LDP.

Windows 2012 desktop

Tout d’abord, nous allons tester si votre contrôleur de domaine offre le service LDAP sur le port 389.

Accédez au menu Connexion et sélectionnez l’option Connect.

Windows LDP application

Essayez de vous connecter à l’hôte local en utilisant le port TCP 389.

Windows ldp ldap connection

Vous devriez être en mesure de vous connecter au service LDAP sur le port local 389.

Windows ldap connection Ok

Maintenant, nous devons tester si votre contrôleur de domaine offre le service LDAP sur SSL sur le port 636.

Ouvrez une nouvelle fenêtre d’application LDP et essayez de vous connecter à l’hôte local en utilisant le port TCP 636.

Sélectionnez la case à cocher SSL et cliquez sur le bouton Ok.

Windows ldp ssl connection

Si le système affiche un message d’erreur, votre contrôleur de domaine n’offre pas encore le service LDAPS.

Pour résoudre ce problème, nous allons installer une autorité de certification Windows sur la prochaine partie de ce tutoriel.

ldp error 636 warning

Si vous avez réussi à vous connecter à l’hôte local sur le port 636 en utilisant le cryptage SSL, vous pouvez sauter la partie suivante de ce tutoriel.

Tutorial - Installation de l’autorité de certification sur Windows

Nous devons installer le service d’autorité de certification Windows.

L’autorité de certification locale fournira au contrôleur de domaine un certificat qui permettra au service LDAPS d’opérer sur le port 636 du PCT.

Ouvrez l’application Server Manager.

Accédez au menu Gérer et cliquez sur Ajouter des rôles et des fonctionnalités.

Windows 2012 add role

Accédez à l’écran de rôle Du serveur, sélectionnez les services de certificat d’annuaire actif et cliquez sur le bouton Suivant.

windows certification authority installation

Sur l’écran suivant, cliquez sur le bouton Ajouter des fonctionnalités.

active directory certificate service

Continuez à cliquer sur le bouton Suivant jusqu’à ce que vous atteigniez l’écran de service de rôle.

Activez l’option nommée Certification Authority et cliquez sur le bouton Suivant.

Windows server 2012 Certification authority install

Sur l’écran de confirmation, cliquez sur le bouton Installer.

Windows ca confirmation screen

Attendez que l’installation de l’Autorité de certification soit finie.

Windows 2012 R2 certification authority installation

Ouvrez l’application Server Manager.

Cliquez sur le menu du drapeau jaune et sélectionnez l’option : Configurer les services de certificat d’annuaire actif

certification authority post deployment

Sur l’écran des informations d’identification, cliquez sur le bouton Suivant.

Sélectionnez l’option Autorité de certification et cliquez sur le bouton Suivant.

Windows certification authority role service

Sélectionnez l’option Enterprise CA et cliquez sur le bouton Suivant.

windows enterprise ca

Sélectionnez l’option Créer une nouvelle clé privée et cliquez sur le bouton Suivant.

windows ca new private key

Conservez la configuration de cryptographie par défaut et cliquez sur le bouton Suivant.

windows cryptography for ca

Définir un nom commun à l’autorité de certification et cliquez sur le bouton Suivant.

Dans notre exemple, nous avons établi le nom commun : TECH-CA

Windows CA name configuration

Définir la période de validité de l’autorité de certification Windows.

Windows CA validity period

Conservez l’emplacement de base de données de l’autorité de certification Windows par défaut.

windows certificate database

Vérifier le résumé et cliquer sur le bouton Configurer.

Windows Ca installation summary

Attendez que l’installation de l’autorité de certification du serveur Windows se termine.

Windows cs authority results

Après avoir terminé l’installation de l’autorité de certification, redémarrez votre ordinateur.

Vous avez terminé l’installation de l’autorité de certification Windows.

PFSense - Tester le LDAP sur SSL Communication Again

Nous devons vérifier si votre contrôleur de domaine offre le service LDAP sur SSL sur le port 636.

Après avoir terminé l’installation de l’autorité de certification, attendez 5 minutes et redémarrez votre contrôleur de domaine.

Pendant le démarrage, votre contrôleur de domaine demandera automatiquement un certificat de serveur auprès de l’autorité de certification locale.

Après avoir obtenu le certificat de serveur, votre contrôleur de domaine commencera à offrir le service LDAP sur SSL sur le port 636.

Sur le contrôleur de domaine, accédez au menu de démarrage et recherchez l’application LDP.

Windows 2012 desktop

Accédez au menu Connexion et sélectionnez l’option Connect.

Windows LDP application

Essayez de vous connecter à l’hôte local en utilisant le port TCP 636.

Sélectionnez la case à cocher SSL et cliquez sur le bouton Ok.

Windows ldp ssl connection

Essayez de vous connecter à l’hôte local en utilisant le port TCP 636.

Sélectionnez la case à cocher SSL et cliquez sur le bouton Ok.

Cette fois, vous devriez être en mesure de vous connecter au service LDAP sur le port local 636.

Windows ldaps connection Ok

Si vous n’êtes pas en mesure de vous connecter au port 636, redémarrez l’ordinateur à nouveau et attendez 5 minutes de plus.

Il peut s’en passer un certain temps avant que votre contrôleur de domaine reçoive le certificat demandé à l’Autorité de certification.

Tutorial - Pare-feu windows Domain Controller

Nous devons créer une règle de pare-feu sur le contrôleur de domaine Windows.

Cette règle de pare-feu permettra au serveur Pfsense d’interroger la base de données d’annuaire active.

Sur le contrôleur de domaine, ouvrez l’application nommée Windows Firewall avec Advanced Security

Créez une nouvelle règle de pare-feu entrant.

zabbix active directory

Sélectionnez l’option PORT.

zabbix windows firewall port

Sélectionnez l’option TCP.

Sélectionnez l’option Ports locaux spécifiques.

Entrez dans le port TCP 636.

Windows firewall open port 636

Sélectionnez l’option Autoriser l’option de connexion.

zabbix windows firewall allow connection

Vérifiez l’option DOMAIN.

Vérifiez l’option PRIVATE.

Vérifiez l’option PUBLIC.

Zabbix windows firewall profile

Entrez une description de la règle du pare-feu.

windows firewall active directory

Félicitations, vous avez créé la règle de pare-feu requise.

Cette règle permettra à Pfsense d’interroger la base de données active.

Tutorial - Préparation de la communication PFSense LDAPS

Accédez au menu de la console PFsense et sélectionnez l’option numéro 8 pour avoir accès à la ligne de commande.

pfsense menu

Utilisez la commande suivante pour tester la communication LDAPS.

Il va essayer d’obtenir une copie du certificat de contrôleur de domaine.

Copy to Clipboard

Gardez à l’esprit que vous devez changer l’adresse IP ci-dessus à votre contrôleur de domaine.

Le système doit afficher une copie du certificat De contrôleur de domaine.

Copy to Clipboard

Le pare-feu PFsense doit être en mesure de communiquer avec le contrôleur de domaine en utilisant son nom DNS. (FQDN)

Le Pfsense peut utiliser le contrôleur de domaine comme serveur DNS pour pouvoir traduire TECH-DC01. Tech. LOCAL à l’adresse IP 192.168.15.10.

Utilisez la commande PING pour vérifier si le pare-feu PFsense est en mesure de traduire le nom d’hôte en adresse IP.

Copy to Clipboard

Dans notre exemple, le pare-feu Pfsense a pu traduire le TECH-DC01. Tech. NOM d’hôte LOCAL au 192.168.15.10.

Tutorial - Création de compte de domaine Windows

Ensuite, nous devons créer au moins 2 comptes sur la base de données d’annuaire active.

Le compte ADMIN sera utilisé pour se connecter à l’interface web Pfsense.

Le compte BIND sera utilisé pour interroger la base de données Active Directory.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.

Zabbix active directory account

Créer un nouveau compte nommé : admin

Mot de passe configuré pour l’utilisateur ADMIN: 123qwe..

Ce compte sera utilisé pour authentifier en tant qu’administrateur sur l’interface web Pfsense.

active directory admin accountzabbix active directory admin properties

Créer un nouveau compte nommé : lier

Mot de passe configuré pour l’utilisateur BIND: 123qwe..

Ce compte sera utilisé pour interroger les mots de passe stockés dans la base de données Active Directory.

active directory bind accountzabbix active directory ldap bind properties

Félicitations, vous avez créé les comptes Active directory requis.

Tutorial - Création de groupe de domaine Windows

Ensuite, nous devons créer au moins 1 groupe sur la base de données d’annuaire active.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau groupe à l’intérieur du conteneur Utilisateurs.

Radius Active directory group

Créer un nouveau groupe nommé: pfsense-admin

Les membres de ce groupe auront l’autorisation admin sur l’interface web PFsense.

pfsense active directory group

Important! Ajoutez l’utilisateur administrateur en tant que membre du groupe pfsense-admin.

pfsense active directory admin group

Félicitations, vous avez créé le groupe Active directory requis.

PFSense - Authentification PFSense LDAPS sur l’annuaire actif

Ouvrez un logiciel de navigateur, entrez l’adresse IP de votre pare-feu Pfsense et accédez à l’interface Web.

Dans notre exemple, l’URL suivante a été saisie dans le navigateur :

https://192.168.15.11

L’interface web Pfsense doit être présentée.

Pfsense login

Sur l’écran rapide, entrez les informations de connexion Pfsense Default Password.

• Username: admin
Mot de passe: pfsense

Après une connexion réussie, vous serez envoyé au tableau de bord Pfsense.

Pfsense dashboard

Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.

pfsense user manager menu

Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Serveurs Authentications et cliquez sur le bouton Ajouter.

pfsense authentication servers

Sur la zone de paramètres Serveur, effectuez la configuration suivante :

Nom de description: ACTIVE DIRECTORY
Type: LDAP

Sur la zone de paramètres LDAP Server, effectuez la configuration suivante :

Nom d’hôte ou adresse IP - TECH-DC01. Tech. Local
Valeur du port - 636
Transport - SSL - Chiffré
Version protocole - 3
Temps d’arrêt du serveur - 25
Portée de recherche - Sous-arbre entier
Base DN - dc-tech,dc-local
- Conteneurs d’authentification - CN-Utilisateurs, DC-tech,DC-local
Requête étendue - Désactivé
- Bind anonyme - Désactivé
- Bind credentials - CN-bind,CN-Users,DC-tech,DC-local
- Bind credentials Password - Mot de passe du compte utilisateur BIND
Modèle initial - Microsoft AD
Attribut de nommage de l’utilisateur - samAccountName
Attribut de nommage de groupe - cn
Attribut de membre du groupe - memberOf
Groupes RFC 2307 - Handicapés
Classe d’objets de groupe - posixGroup
Encode UTF8 - Désactivé
Modifications de nom d’utilisateur - Désactivé

Vous devez changer TECH-DC01. Tech. LOCAL à votre nom d’hôte de contrôleur de domaine.

Vous devez modifier les informations de domaine pour refléter votre environnement réseau.

Vous devez modifier les informations d’identification de liaison pour refléter votre environnement réseau.

pfsense ldaps authenticationpfsense server authentication ldap setup

Cliquez sur le bouton Enregistrer pour terminer la configuration.

Dans notre exemple, nous avons configuré l’authentification du serveur Ldap sur le firewal PFSense.

PFSense - Test de l’authentification active du répertoire

Accédez au menu Pfsense Diagnostics et sélectionnez l’option Authentification.

pfsense diagnostics authentication

Sélectionnez le serveur d’authentification du répertoire Actif.

Entrez le nom d’utilisateur Admin, son mot de passe et cliquez sur le bouton Test.

pfsense ldap authentication test

Si votre test réussit, vous devriez voir le message suivant.

pfsense active directory login test

félicitations! L’authentification du serveur PFsense LDAPS sur Active Directory a été configurée avec succès.

PFSense - Autorisation active du groupe d’annuaires

Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.

pfsense user manager menu

Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Groupes et cliquez sur le bouton Ajouter.

pfsense group manager

Sur l’écran de création du Groupe, effectuez la configuration suivante :

Nom du groupe - pfsense-admin
Portée - Télécommande
Description - Groupe d’annuaire actif

Cliquez sur le bouton Enregistrer, vous serez renvoyé à l’écran de configuration du groupe.

pfsense group creation

Maintenant, vous devez modifier les autorisations du groupe pfsense-admin.

Sur les propriétés du groupe pfsense-admin, localisez la zone Privilèges attribués et cliquez sur le bouton Ajouter.

Sur la zone privilège du Groupe, effectuez la configuration suivante :

Privilèges attribués - WebCfg - Toutes les pages

pfsense active directory group permission

Cliquez sur le bouton Enregistrer pour terminer la configuration.

PFSense - Activer l’authentification active du répertoire

Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.

pfsense user manager menu

Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Paramètres.

pfsense authentication settings menu

Sur l’écran Paramètres, sélectionnez le serveur d’authentification du répertoire Actif.

Cliquez sur le bouton Enregistrer et tester.

pfsense active directory authentication settings

Après avoir terminé votre configuration, vous devez déconnecter l’interface web Pfsense.

Essayez de vous connecter à l’aide de l’utilisateur de l’administrateur et du mot de passe de la base de données Active Directory.

Sur l’écran de connexion, utilisez l’utilisateur d’administration et le mot de passe de la base de données Active Directory.

• Username: admin
• Mot de passe : Entrez le mot de passe de Active directory.

Pfsense login

félicitations! Vous avez configuré l’authentification PFSense pour utiliser la base de données Active Directory.