האם בדעתך ללמוד כיצד לקבוע את התצורה של אימות הספריה הפעילה של PFsense באמצעות Radius? במדריך זה, אנו הולכים להראות לך כיצד לאמת משתמשי PFSense במסד הנתונים של Active Directory באמצעות פרוטוקול Radius.
• Pfsense 2.4.4-p3
• Windows 2012 R2
ערכת לימוד הקשורה ל- PFsense:
בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות ל- pfSense.
ערכת לימוד – התקנת שרת רדיוס ב- Windows
• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL
פתח את היישום מנהל השרת.
גש לתפריט ניהול ולחץ על הוסף תפקידים ותכונות.
גש למסך תפקידי שרת, בחר באפשרות מדיניות רשת ושירות Access.
לחץ על לחצן הבא.
במסך הבא, לחץ על לחצן הוסף תכונות.
במסך שירות תפקיד, לחץ על לחצן הבא.
במסך הבא, לחץ על לחצן התקן.
סיימת את ההתקנה של שרת Radius ב- Windows 2012.
שרת רדיוס ערכת לימוד – שילוב Active Directory
לאחר מכן, עלינו ליצור לפחות חשבון אחד במסד הנתונים של Active Directory.
חשבון הניהול ישמש לכניסה בממשק האינטרנט של Pfsense.
בבקר קבוצת המחשבים, פתח את היישום בשם: משתמשים ומחשבים של Active Directory
צור חשבון חדש בתוך הגורם המכיל של משתמשים.
יצירת חשבון חדש בשם: admin
סיסמה שתצורתה נקבעה למשתמש מנהל מערכת: 123qwe..
חשבון זה ישמש לאימות כמנהל בממשק האינטרנט של Pfsense.
מזל טוב, יצרת את חשבונות Active Directory הדרושים.
לאחר מכן, עלינו ליצור קבוצה אחת לפחות במסד הנתונים של Active Directory.
בבקר קבוצת המחשבים, פתח את היישום בשם: משתמשים ומחשבים של Active Directory
צור קבוצה חדשה בתוך הגורם המכיל של משתמשים.
יצירת קבוצה חדשה בשם: pfsense-admin
לחברים בקבוצה זו תהיה הרשאת מנהל מערכת בממשק האינטרנט של PFsense.
חשוב! הוסף את משתמש מנהל המערכת כחבר בקבוצת הניהול של pfsense.
ברכותיי, יצרת את קבוצת Active Directory הדרושה.
ערכת לימוד – חומת אש של בקר קבוצת מחשבים של Windows
עלינו ליצור כלל חומת אש בבקר קבוצת המחשבים של Windows.
כלל חומת אש זה יאפשר לשרת Pfsense לבצע שאילתה על מסד הנתונים של Active Directory.
בבקר קבוצת המחשבים, פתח את היישום בשם חומת האש של Windows עם אבטחה מתקדמת
צור כלל חומת אש נכנס חדש.
בחר באפשרות יציאה.
בחר באפשרות TCP.
בחר באפשרות יציאות מקומיות ספציפיות.
הזן את יציאת TCP 636.
בחר באפשרות אפשר את החיבור.
סמן את האפשרות DOMAIN.
בדוק את האפשרות פרטית.
בדוק את האפשרות ציבורית.
הזן תיאור לכלל חומת האש.
מזל טוב, יצרת את כלל חומת האש הנדרש.
כלל זה יאפשר ל- Pfsense לבצע שאילתה על מסד הנתונים של Active directory.
שרת רדיוס ערכת לימוד – הוספת התקני לקוח
בשרת Radius, פתח את היישום בשם: שרת מדיניות רשת
עליך לאשר את שרת Radius במסד הנתונים של Active Directory.
לחץ באמצעות לחצן העכבר הימני על NPS(LOCAL) ובחר באפשרות רשום שרת ב- Active Directory.
במסך האישור, לחץ על לחצן אישור.
לאחר מכן, עליך לקבוע את התצורה של לקוחות Radius.
לקוחות רדיוס הם התקנים שיורשו לבקש אימות משרת Radius.
חשוב! אל תבלבל בין לקוחות Radius לבין משתמשי Radius.
לחץ לחיצה ימנית על התיקיה לקוחות רדיוס ובחר באפשרות חדש.
להלן דוגמה ללקוח שתצורתו נקבעה לאפשר חומת אש של Pfsense להתחבר לשרת Radius.
עליך להגדיר את התצורה הבאה:
• שם ידידותי למכשיר – הוסף לך תיאור Pfsense
• כתובת IP של התקן – כתובת IP של חומת האש שלך PFsense
• התקן סוד משותף – kamisama123
הסוד המשותף ישמש כדי לאשר להתקן להשתמש בשרת Radius.
סיימת את התצורה של לקוח Radius.
שרת רדיוס ערכת לימוד – קביעת תצורה של מדיניות רשת
כעת, עליך ליצור תסנון רשת כדי לאפשר אימות.
לחץ באמצעות לחצן העכבר הימני על התיקיה מדיניות רשת ובחר באפשרות חדש.
הזן שם למדיניות הרשת ולחץ על לחצן הבא.
לחץ על לחצן הוסף תנאי.
אנו נאפשר לחברי קבוצת PFSENSE-ADMIN לאמת.
בחר באפשרות קבוצת משתמשים ולחץ על לחצן הוסף.
לחץ על לחצן הוסף קבוצות ואתר את הקבוצה PFSENSE-ADMIN.
בחר באפשרות הוענקה ל- Access ולחץ על לחצן הבא.
פעולה זו תאפשר לחברים בקבוצה PFSENSE-ADMIN לבצע אימות בשרת Radius.
במסך שיטות אימות, בחר באפשרות אימות לא מוצפן (PAP, SPAP).
אם מוצגת האזהרה הבאה, לחץ על לחצן לא.
במסך תצורת רדיוס, בחר באפשרות תכונת רדיוס רגיל ולחץ על לחצן הוסף
בחר את התכונה מחלקה ולחץ על לחצן הוסף.
בחר באפשרות מחרוזת והזן עשרה שם של הקבוצה הפעילה שיצרנו בעבר.
בדוגמה שלנו, יצרנו קבוצת Active Directory בשם PFSENSE-ADMIN.
שרת NPS Radius יעביר את פרטי המחלקה בחזרה אל חומת האש של PFsense.
חומת האש של Pfsense תשתמש במידע המחלקה כדי להגדיר את המשתמש כחבר בקבוצת הניהול של pfsense.
זכור שהקבוצה הניהולית-pfsense חייבת להתקיים במדריך הפעיל וגם בחומת האש של Pfsense.
אמת את סיכום התצורה של שרת Radius ולחץ על לחצן סיום.
מזל טוב! סיימת את התצורה של שרת Radius.
PFSense – אימות רדיוס PFSense ב- Active Directory
פתח תוכנת דפדפן, הזן את כתובת ה- IP של חומת האש של Pfsense וממשק אינטרנט גישה.
בדוגמה שלנו, כתובת ה- URL הבאה הוזנה בדפדפן:
• 80 https://192.168.15.11
יש להציג את ממשק האינטרנט של Pfsense.
במסך הבקשה, הזן את פרטי הכניסה לסיסמה המהווה ברירת מחדל של Pfsense.
• Username: admin
• סיסמה: pfsense
לאחר כניסה מוצלחת, תישלח ללוח המחוונים של Pfsense.
גש לתפריט מערכת Pfsense ובחר באפשרות מנהל משתמש.
במסך מנהל משתמש, גש ללשונית שרתי אימות ולחץ על לחצן הוסף.
באזור הגדרות שרת, בצע את התצורה הבאה:
• Description name: ACTIVE DIRECTORY
• סוג: רדיוס
באזור הגדרות RADIUS Server, בצע את התצורה הבאה:
• פרוטוקול – PAP
• Hostname or IP address – 192.168.15.10
• סוד משותף – סוד משותף לקוח רדיוס (kamisama123)
• שירותים המוצעים – אימות והחשבונאות
• יציאת אימות – 1812
• נמל Acconting – 1813
• זמן סיום לאימות – 5
עליך לשנות את כתובת ה- IP של שרת Radius.
עליך לשנות את הסוד המשותף כדי לשקף את הסוד המשותף של לקוח Radius.
לחץ על לחצן שמור כדי לסיים את התצורה.
בדוגמה שלנו, הגדרנו את אימות שרת Radius בחומת האש של PFSense.
רדיוס PFSense – בדיקת אימות מדריך משתמשים פעיל
גש לתפריט אבחון Pfsense ובחר באפשרות אימות.
בחר את שרת האימות של Active Directory.
הזן את שם המשתמש Admin, הסיסמה שלו ולחץ על לחצן בדיקה.
אם הבדיקה שלך מצליחה, עליך לראות את ההודעה הבאה.
מזל טוב! אימות שרת רדיוס PFsense שלך ב- Active Directory נקבעה באופן בהצלחה.
PFSense – הרשאת קבוצת Active Directory
גש לתפריט מערכת Pfsense ובחר באפשרות מנהל משתמש.
במסך מנהל המשתמשים, גש ללשונית קבוצות ולחץ על לחצן הוסף.
במסך יצירת קבוצה, בצע את התצורה הבאה:
• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group
לחץ על לחצן שמור, תישלח בחזרה למסך תצורת הקבוצה.
כעת, עליך לערוך את ההרשאות של קבוצת הניהול-pfsense.
במאפייני קבוצת הניהול של pfsense, אתר את האזור הרשאות שהוקצו ולחץ על לחצן הוסף.
באזור הרשאת קבוצה, בצע את התצורה הבאה:
• Assigned privileges – WebCfg – All pages
לחץ על לחצן שמור כדי לסיים את התצורה.
PFSense – הפוך אימות Active Directory לזמין
גש לתפריט מערכת Pfsense ובחר באפשרות מנהל משתמש.
במסך מנהל המשתמש, גש לשונית הגדרות.
במסך הגדרות, בחר את שרת אימות מדריך הספריות הפעיל.
לחץ על לחצן שמור ובדוק.
לאחר סיום התצורה, עליך להתנתק מממשק האינטרנט Pfsense.
נסה להיכנס באמצעות משתמש מנהל המערכת והסיסמה ממסד הנתונים של Active Directory.
במסך הכניסה, השתמש במשתמש מנהל המערכת ובסיסמה ממסד הנתונים של Active Directory.
• Username: admin
• סיסמה: הזן את סיסמת הספריה הפעילה.
מזל טוב! קבעת את תצורת אימות PFSense לשימוש במסד הנתונים של Active Directory.