Souhaitez-vous apprendre comment configurer l’authentification du répertoire PFsense Active à l’aide de Radius ? Dans ce tutoriel, nous allons vous montrer comment authentifier les utilisateurs de PFSense sur la base de données Active Directory à l’aide du protocole Radius.
Pfsense 2.4.4-p3
• Windows 2012 R2
PFsense Tutoriel connexe:
Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à pfSense.
Tutorial – Installation de serveur Radius sur Windows
IP – 192.168.15.10.
Système D’Opéra – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL
Ouvrez l’application Server Manager.
Accédez au menu Gérer et cliquez sur Ajouter des rôles et des fonctionnalités.
Accédez à l’écran des rôles serveur, sélectionnez l’option Stratégie réseau et service d’accès.
Cliquez sur le bouton Suivant.
Sur l’écran suivant, cliquez sur le bouton Ajouter des fonctionnalités.
Sur l’écran du service De rôle, cliquez sur le bouton suivant.
Sur l’écran suivant, cliquez sur le bouton Installer.
Vous avez terminé l’installation du serveur Radius sur Windows 2012.
Tutorial Radius Server – Intégration active d’annuaire
Ensuite, nous devons créer au moins 1 compte dans la base de données d’annuaire Active.
Le compte ADMIN sera utilisé pour se connecter à l’interface web Pfsense.
Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.
Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.
Créer un nouveau compte nommé : admin
Mot de passe configuré pour l’utilisateur ADMIN: 123qwe..
Ce compte sera utilisé pour authentifier en tant qu’administrateur sur l’interface web Pfsense.
Félicitations, vous avez créé les comptes Active directory requis.
Ensuite, nous devons créer au moins 1 groupe sur la base de données d’annuaire active.
Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.
Créez un nouveau groupe à l’intérieur du conteneur Utilisateurs.
Créer un nouveau groupe nommé: pfsense-admin
Les membres de ce groupe auront l’autorisation admin sur l’interface web PFsense.
Important! Ajoutez l’utilisateur administrateur en tant que membre du groupe pfsense-admin.
Félicitations, vous avez créé le groupe Active directory requis.
Tutorial – Pare-feu windows Domain Controller
Nous devons créer une règle de pare-feu sur le contrôleur de domaine Windows.
Cette règle de pare-feu permettra au serveur Pfsense d’interroger la base de données d’annuaire active.
Sur le contrôleur de domaine, ouvrez l’application nommée Windows Firewall avec Advanced Security
Créez une nouvelle règle de pare-feu entrant.
Sélectionnez l’option PORT.
Sélectionnez l’option TCP.
Sélectionnez l’option Ports locaux spécifiques.
Entrez dans le port TCP 636.
Sélectionnez l’option Autoriser l’option de connexion.
Vérifiez l’option DOMAIN.
Vérifiez l’option PRIVATE.
Vérifiez l’option PUBLIC.
Entrez une description de la règle du pare-feu.
Félicitations, vous avez créé la règle de pare-feu requise.
Cette règle permettra à Pfsense d’interroger la base de données active.
Tutorial Radius Server – Ajouter des périphériques clients
Sur le serveur Radius, ouvrez l’application nommée : Network Policy Server
Vous devez autoriser le serveur Radius sur la base de données d’annuaire Active.
Cliquez à droite sur NPS (LOCAL) et sélectionnez le serveur Enregistrer en option Active Directory.
Sur l’écran de confirmation, cliquez sur le bouton OK.
Ensuite, vous devez configurer les clients Radius.
Les clients Radius sont des appareils qui seront autorisés à demander l’authentification à partir du serveur Radius.
Important! Ne confondez pas les clients Radius avec les utilisateurs radius.
Cliquez à droite sur le dossier Clients Radius et sélectionnez la nouvelle option.
Voici un exemple d’un client configuré pour permettre à un pare-feu Pfsense de se connecter au serveur Radius.
Vous devez définir la configuration suivante :
Nom amical de l’appareil – Ajoutez une description à vous Pfsense
Adresse IP de l’appareil – Adresse IP de votre pare-feu PFsense
– Appareil partagé secret – kamisama123
Le secret partagé sera utilisé pour autoriser l’appareil à utiliser le serveur Radius.
Vous avez terminé la configuration client Radius.
Tutorial Radius Server – Configurer une stratégie réseau
Maintenant, vous devez créer une politie de réseau pour permettre l’authentification.
Cliquez à droite sur le dossier Des stratégies réseau et sélectionnez la nouvelle option.
Entrez un nom dans la stratégie réseau et cliquez sur le bouton Suivant.
Cliquez sur le bouton Ajouter l’état.
Nous allons permettre aux membres du groupe PFSENSE-ADMIN de s’authentifier.
Sélectionnez l’option groupe utilisateur et cliquez sur le bouton Ajouter.
Cliquez sur le bouton Ajouter des groupes et localiser le groupe PFSENSE-ADMIN.
Sélectionnez l’option Access granted et cliquez sur le bouton Suivant.
Cela permettra aux membres du groupe PFSENSE-ADMIN de s’authentifier sur le serveur Radius.
Sur l’écran Méthodes d’authentification, sélectionnez l’option d’authentification non chiffrée (PAP, SPAP).
Si l’avertissement suivant est présenté, cliquez sur le bouton Non.
Sur l’écran de configuration Radius, sélectionnez l’option d’attribut de rayon standard et cliquez sur le bouton Ajouter
Sélectionnez l’attribut Classe et cliquez sur le bouton Ajouter.
Sélectionnez l’option Chaîne et entrez dix noms du groupe Actif que nous avons créé auparavant.
Dans notre exemple, nous avons créé un groupe d’annuaireactif actif nommé PFSENSE-ADMIN.
Le serveur NPS Radius transmettra les informations de classe au pare-feu PFsense.
Le pare-feu Pfsense utilisera les informations de classe pour définir l’utilisateur en tant que membre du groupe pfsense-admin.
Gardez à l’esprit que le groupe pfsense-admin doit exister sur le répertoire actif et aussi sur le pare-feu Pfsense.
Vérifier le résumé de configuration du serveur Radius et cliquer sur le bouton Finition.
félicitations! Vous avez terminé la configuration du serveur Radius.
PFSense – Authentification pfSense Radius sur l’annuaire actif
Ouvrez un logiciel de navigateur, entrez l’adresse IP de votre pare-feu Pfsense et accédez à l’interface Web.
Dans notre exemple, l’URL suivante a été saisie dans le navigateur :
https://192.168.15.11
L’interface web Pfsense doit être présentée.
Sur l’écran rapide, entrez les informations de connexion Pfsense Default Password.
• Username: admin
Mot de passe: pfsense
Après une connexion réussie, vous serez envoyé au tableau de bord Pfsense.
Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.
Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Serveurs Authentications et cliquez sur le bouton Ajouter.
Sur la zone de paramètres Serveur, effectuez la configuration suivante :
Nom de description: ACTIVE DIRECTORY
Type: RADIUS
Sur la zone de paramètres RADIUS Server, effectuez la configuration suivante :
Protocole – PAP
Nom d’hôte ou adresse IP – 192.168.15.10
Secret partagé – Le client Radius a partagé le secret (kamisama123)
Services offerts – Authentification et comptabilité
Port d’authentification – 1812
Port d’Acconting – 1813
Temps d’arrêt de l’authentification – 5
Vous devez modifier l’adresse IP du serveur Radius.
Vous devez modifier le secret partagé pour refléter le secret partagé de votre client Radius.
Cliquez sur le bouton Enregistrer pour terminer la configuration.
Dans notre exemple, nous avons configuré l’authentification du serveur Radius sur le pare-feu PFSense.
PFSense Radius – Test active Directory Authentication
Accédez au menu Pfsense Diagnostics et sélectionnez l’option Authentification.
Sélectionnez le serveur d’authentification du répertoire Actif.
Entrez le nom d’utilisateur Admin, son mot de passe et cliquez sur le bouton Test.
Si votre test réussit, vous devriez voir le message suivant.
félicitations! L’authentification du serveur PFsense Radius sur Active Directory a été configurée avec succès.
PFSense – Autorisation active du groupe d’annuaires
Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.
Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Groupes et cliquez sur le bouton Ajouter.
Sur l’écran de création du Groupe, effectuez la configuration suivante :
Nom du groupe – pfsense-admin
Portée – Télécommande
Description – Groupe d’annuaire actif
Cliquez sur le bouton Enregistrer, vous serez renvoyé à l’écran de configuration du groupe.
Maintenant, vous devez modifier les autorisations du groupe pfsense-admin.
Sur les propriétés du groupe pfsense-admin, localisez la zone Privilèges attribués et cliquez sur le bouton Ajouter.
Sur la zone privilège du Groupe, effectuez la configuration suivante :
Privilèges attribués – WebCfg – Toutes les pages
Cliquez sur le bouton Enregistrer pour terminer la configuration.
PFSense – Activer l’authentification active du répertoire
Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.
Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Paramètres.
Sur l’écran Paramètres, sélectionnez le serveur d’authentification du répertoire Actif.
Cliquez sur le bouton Enregistrer et tester.
Après avoir terminé votre configuration, vous devez déconnecter l’interface web Pfsense.
Essayez de vous connecter à l’aide de l’utilisateur de l’administrateur et du mot de passe de la base de données Active Directory.
Sur l’écran de connexion, utilisez l’utilisateur d’administration et le mot de passe de la base de données Active Directory.
• Username: admin
• Mot de passe : Entrez le mot de passe de Active directory.
félicitations! Vous avez configuré l’authentification PFSense pour utiliser la base de données Active Directory.
