Souhaitez-vous apprendre comment configurer l’authentification du répertoire PFsense Active à l’aide de Radius ? Dans ce tutoriel, nous allons vous montrer comment authentifier les utilisateurs de PFSense sur la base de données Active Directory à l’aide du protocole Radius.

Pfsense 2.4.4-p3
• Windows 2012 R2

Tutorial - Installation de serveur Radius sur Windows

IP - 192.168.15.10.
Système D’Opéra - Windows 2012 R2
• Hostname - TECH-DC01
• Active Directory Domain: TECH.LOCAL

Ouvrez l’application Server Manager.

Accédez au menu Gérer et cliquez sur Ajouter des rôles et des fonctionnalités.

Windows 2012 add role

Accédez à l’écran des rôles serveur, sélectionnez l’option Stratégie réseau et service d’accès.

Cliquez sur le bouton Suivant.

Network Policy and Access Service

Sur l’écran suivant, cliquez sur le bouton Ajouter des fonctionnalités.

network policy features

Sur l’écran du service De rôle, cliquez sur le bouton suivant.

network policy server

Sur l’écran suivant, cliquez sur le bouton Installer.

radius server installation on windows

Vous avez terminé l’installation du serveur Radius sur Windows 2012.

Tutorial Radius Server - Intégration active d’annuaire

Ensuite, nous devons créer au moins 1 compte dans la base de données d’annuaire Active.

Le compte ADMIN sera utilisé pour se connecter à l’interface web Pfsense.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau compte à l’intérieur du conteneur Utilisateurs.

Zabbix active directory account

Créer un nouveau compte nommé : admin

Mot de passe configuré pour l’utilisateur ADMIN: 123qwe..

Ce compte sera utilisé pour authentifier en tant qu’administrateur sur l’interface web Pfsense.

active directory admin accountzabbix active directory admin properties

Félicitations, vous avez créé les comptes Active directory requis.

Ensuite, nous devons créer au moins 1 groupe sur la base de données d’annuaire active.

Sur le contrôleur de domaine, ouvrez l’application nommée : Utilisateurs et ordinateurs Active directory.

Créez un nouveau groupe à l’intérieur du conteneur Utilisateurs.

Radius Active directory group

Créer un nouveau groupe nommé: pfsense-admin

Les membres de ce groupe auront l’autorisation admin sur l’interface web PFsense.

pfsense active directory group

Important! Ajoutez l’utilisateur administrateur en tant que membre du groupe pfsense-admin.

pfsense active directory admin group

Félicitations, vous avez créé le groupe Active directory requis.

Tutorial - Pare-feu windows Domain Controller

Nous devons créer une règle de pare-feu sur le contrôleur de domaine Windows.

Cette règle de pare-feu permettra au serveur Pfsense d’interroger la base de données d’annuaire active.

Sur le contrôleur de domaine, ouvrez l’application nommée Windows Firewall avec Advanced Security

Créez une nouvelle règle de pare-feu entrant.

zabbix active directory

Sélectionnez l’option PORT.

zabbix windows firewall port

Sélectionnez l’option TCP.

Sélectionnez l’option Ports locaux spécifiques.

Entrez dans le port TCP 636.

Windows firewall open port 636

Sélectionnez l’option Autoriser l’option de connexion.

zabbix windows firewall allow connection

Vérifiez l’option DOMAIN.

Vérifiez l’option PRIVATE.

Vérifiez l’option PUBLIC.

Zabbix windows firewall profile

Entrez une description de la règle du pare-feu.

windows firewall active directory

Félicitations, vous avez créé la règle de pare-feu requise.

Cette règle permettra à Pfsense d’interroger la base de données active.

Tutorial Radius Server - Ajouter des périphériques clients

Sur le serveur Radius, ouvrez l’application nommée : Network Policy Server

Vous devez autoriser le serveur Radius sur la base de données d’annuaire Active.

Cliquez à droite sur NPS (LOCAL) et sélectionnez le serveur Enregistrer en option Active Directory.

authorize radius server on windows

Sur l’écran de confirmation, cliquez sur le bouton OK.

Ensuite, vous devez configurer les clients Radius.

Les clients Radius sont des appareils qui seront autorisés à demander l’authentification à partir du serveur Radius.

Important! Ne confondez pas les clients Radius avec les utilisateurs radius.

Cliquez à droite sur le dossier Clients Radius et sélectionnez la nouvelle option.

pfsense radius client

Voici un exemple d’un client configuré pour permettre à un pare-feu Pfsense de se connecter au serveur Radius.

Vous devez définir la configuration suivante :

Nom amical de l’appareil - Ajoutez une description à vous Pfsense
Adresse IP de l’appareil - Adresse IP de votre pare-feu PFsense
- Appareil partagé secret - kamisama123

Le secret partagé sera utilisé pour autoriser l’appareil à utiliser le serveur Radius.

Vous avez terminé la configuration client Radius.

Tutorial Radius Server - Configurer une stratégie réseau

Maintenant, vous devez créer une politie de réseau pour permettre l’authentification.

Cliquez à droite sur le dossier Des stratégies réseau et sélectionnez la nouvelle option.

Entrez un nom dans la stratégie réseau et cliquez sur le bouton Suivant.

nps - network policy name

Cliquez sur le bouton Ajouter l’état.

Nous allons permettre aux membres du groupe PFSENSE-ADMIN de s’authentifier.

pfsense radius user group

Sélectionnez l’option groupe utilisateur et cliquez sur le bouton Ajouter.

nps - user group condition

Cliquez sur le bouton Ajouter des groupes et localiser le groupe PFSENSE-ADMIN.

pfsense admin radius group

Sélectionnez l’option Access granted et cliquez sur le bouton Suivant.

Cela permettra aux membres du groupe PFSENSE-ADMIN de s’authentifier sur le serveur Radius.

NPS Access granted

Sur l’écran Méthodes d’authentification, sélectionnez l’option d’authentification non chiffrée (PAP, SPAP).

Radius server authentication method

Si l’avertissement suivant est présenté, cliquez sur le bouton Non.

NPS Warning message

Sur l’écran de configuration Radius, sélectionnez l’option d’attribut de rayon standard et cliquez sur le bouton Ajouter

pfsense radius nps configure settings

Sélectionnez l’attribut Classe et cliquez sur le bouton Ajouter.

pfsense radius nps class

Sélectionnez l’option Chaîne et entrez dix noms du groupe Actif que nous avons créé auparavant.

Dans notre exemple, nous avons créé un groupe d’annuaireactif actif nommé PFSENSE-ADMIN.

pfsense active directory radius attribute information

Le serveur NPS Radius transmettra les informations de classe au pare-feu PFsense.

Le pare-feu Pfsense utilisera les informations de classe pour définir l’utilisateur en tant que membre du groupe pfsense-admin.

Gardez à l’esprit que le groupe pfsense-admin doit exister sur le répertoire actif et aussi sur le pare-feu Pfsense.

pfsense radius network policy settings nps

Vérifier le résumé de configuration du serveur Radius et cliquer sur le bouton Finition.

pfsense active directory authentication summary

félicitations! Vous avez terminé la configuration du serveur Radius.

PFSense - Authentification pfSense Radius sur l’annuaire actif

Ouvrez un logiciel de navigateur, entrez l’adresse IP de votre pare-feu Pfsense et accédez à l’interface Web.

Dans notre exemple, l’URL suivante a été saisie dans le navigateur :

https://192.168.15.11

L’interface web Pfsense doit être présentée.

Pfsense login

Sur l’écran rapide, entrez les informations de connexion Pfsense Default Password.

• Username: admin
Mot de passe: pfsense

Après une connexion réussie, vous serez envoyé au tableau de bord Pfsense.

Pfsense dashboard

Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.

pfsense user manager menu

Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Serveurs Authentications et cliquez sur le bouton Ajouter.

pfsense authentication servers

Sur la zone de paramètres Serveur, effectuez la configuration suivante :

Nom de description: ACTIVE DIRECTORY
Type: RADIUS

pfsense radius authentication server

Sur la zone de paramètres RADIUS Server, effectuez la configuration suivante :

Protocole - PAP
Nom d’hôte ou adresse IP - 192.168.15.10
Secret partagé - Le client Radius a partagé le secret (kamisama123)
Services offerts - Authentification et comptabilité
Port d’authentification - 1812
Port d’Acconting - 1813
Temps d’arrêt de l’authentification - 5

Vous devez modifier l’adresse IP du serveur Radius.

Vous devez modifier le secret partagé pour refléter le secret partagé de votre client Radius.

pfsense radius server settings

Cliquez sur le bouton Enregistrer pour terminer la configuration.

Dans notre exemple, nous avons configuré l’authentification du serveur Radius sur le pare-feu PFSense.

PFSense Radius - Test active Directory Authentication

Accédez au menu Pfsense Diagnostics et sélectionnez l’option Authentification.

pfsense diagnostics authentication

Sélectionnez le serveur d’authentification du répertoire Actif.

Entrez le nom d’utilisateur Admin, son mot de passe et cliquez sur le bouton Test.

pfsense ldap authentication test

Si votre test réussit, vous devriez voir le message suivant.

pfsense active directory login test

félicitations! L’authentification du serveur PFsense Radius sur Active Directory a été configurée avec succès.

PFSense - Autorisation active du groupe d’annuaires

Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.

pfsense user manager menu

Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Groupes et cliquez sur le bouton Ajouter.

pfsense group manager

Sur l’écran de création du Groupe, effectuez la configuration suivante :

Nom du groupe - pfsense-admin
Portée - Télécommande
Description - Groupe d’annuaire actif

Cliquez sur le bouton Enregistrer, vous serez renvoyé à l’écran de configuration du groupe.

pfsense group creation

Maintenant, vous devez modifier les autorisations du groupe pfsense-admin.

Sur les propriétés du groupe pfsense-admin, localisez la zone Privilèges attribués et cliquez sur le bouton Ajouter.

Sur la zone privilège du Groupe, effectuez la configuration suivante :

Privilèges attribués - WebCfg - Toutes les pages

pfsense active directory group permission

Cliquez sur le bouton Enregistrer pour terminer la configuration.

PFSense - Activer l’authentification active du répertoire

Accédez au menu Pfsense System et sélectionnez l’option De gestionnaire d’utilisateur.

pfsense user manager menu

Sur l’écran du gestionnaire utilisateur, accédez à l’onglet Paramètres.

pfsense authentication settings menu

Sur l’écran Paramètres, sélectionnez le serveur d’authentification du répertoire Actif.

Cliquez sur le bouton Enregistrer et tester.

pfsense active directory authentication settings

Après avoir terminé votre configuration, vous devez déconnecter l’interface web Pfsense.

Essayez de vous connecter à l’aide de l’utilisateur de l’administrateur et du mot de passe de la base de données Active Directory.

Sur l’écran de connexion, utilisez l’utilisateur d’administration et le mot de passe de la base de données Active Directory.

• Username: admin
• Mot de passe : Entrez le mot de passe de Active directory.

Pfsense login

félicitations! Vous avez configuré l’authentification PFSense pour utiliser la base de données Active Directory.