האם ברוצה ללמוד כיצד להגדיר את אימות הספריה פעילה PFsense באמצעות LDAP מעל SSL? במדריך זה, אנו הולכים להראות לך כיצד לאמת משתמשי PFSense במסד הנתונים של Active Directory באמצעות פרוטוקול LDAPS עבור חיבור מוצפן.

• Pfsense 2.4.4-p3
• Windows 2012 R2

ערכת לימוד – התקנת Active Directory ב- Windows

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL

אם כבר יש לך תחום של Active Directory, באפשרותך לדלג על חלק זה של ערכת הלימוד.

פתח את היישום מנהל השרת.

גש לתפריט ניהול ולחץ על הוסף תפקידים ותכונות.

גישה למסך התפקידים Server, בחר בשירות קבוצת המחשבים של Active Directory ולחץ על לחצן הבא.

במסך הבא, לחץ על לחצן הוסף תכונות.

המשך ללחוץ על לחצן הבא עד שתגיע למסך האחרון.

במסך האישור, לחץ על לחצן התקן.

המתן לסיום התקנת הספריה הפעילה.

פתח את היישום מנהל השרת.

לחץ על תפריט דגל צהוב ובחר באפשרות לקדם שרת זה לבקר קבוצת מחשבים

בחר באפשרות להוסיף יער חדש והזן שם תחום בסיס.

בדוגמה שלנו, יצרנו תחום חדש בשם: TECH. מקומי.

הזן סיסמה כדי לאבטח את שחזור Active Directory.

במסך אפשרויות DNS, לחץ על לחצן הבא.

אמת את שם Netbios שהוקצה לתחום שלך ולחץ על לחצן הבא.

לחץ על לחצן הבא.

סקור את אפשרויות התצורה שלך ולחץ על לחצן הבא.

במסך תנאים מוקדמים בדוק, לחץ על לחצן התקן.

המתן לסיום תצורת Active Directory.

לאחר סיום התקנת Active Directory, המחשב יופעל מחדש באופן אוטומטי

סיימת את תצורת הספריה הפעילה בשרת Windows.

PFSense – בדיקת LDAP באמצעות תקשורת SSL

עלינו לבדוק אם בקר קבוצת המחשבים שלך מציע את שירות LDAP over SSL ביציאה 636.

בבקר קבוצת המחשבים, גש לתפריט התחלה וחפש את יישום LDP.

תחילה, בוא נבדוק אם בקר קבוצת המחשבים שלך מציע את שירות LDAP ביציאה 389.

גש לתפריט חיבור ובחר באפשרות התחבר.

נסה להתחבר ל localhost באמצעות יציאת TCP 389.

תוכל להתחבר לשירות LDAP ביציאת Localhost 389.

עכשיו, אנחנו צריכים לבדוק אם בקר התחום שלך מציע את LDAP מעל שירות SSL ביציאה 636.

פתח חלון יישום LDP חדש ונסה להתחבר ל localhost באמצעות יציאת TCP 636.

בחר בתיבת הסימון SSL ולחץ על לחצן אישור.

אם המערכת מציגה הודעת שגיאה, בקר קבוצת המחשבים שלך אינו מציע את שירות LDAPS עדיין.

כדי לפתור זאת, אנו הולכים להתקין רשות אישורים של Windows בחלק הבא של ערכת לימוד זו.

אם הצלחת להתחבר בהצלחה ל-localhost ביציאה 636 באמצעות הצפנת SSL, באפשרותך לדלג על החלק הבא של ערכת לימוד זו.

ערכת לימוד – התקנת רשות אישורים ב- Windows

עלינו להתקין את שירות רשות האישורים של Windows.

רשות האישורים המקומית תספק לבקר קבוצת המחשבים אישור שיאפשר לשירות LDAPS לפעול ביציאת TCP 636.

פתח את היישום מנהל השרת.

גש לתפריט ניהול ולחץ על הוסף תפקידים ותכונות.

גש למסך התפקידים Server, בחר בשירותי אישורי Active Directory ולחץ על לחצן הבא.

windows certification authority installation

במסך הבא, לחץ על לחצן הוסף תכונות.

active directory certificate service

המשך ללחוץ על לחצן הבא עד שתגיע למסך שירות התפקידים.

הפוך את האפשרות בשם רשות האישורים לזמינה ולחץ על לחצן הבא.

Windows server 2012 Certification authority install

במסך האישור, לחץ על לחצן התקן.

Windows ca confirmation screen

המתן להתקנה של רשות האישורים לסיום.

Windows 2012 R2 certification authority installation

פתח את היישום מנהל השרת.

לחץ על תפריט דגל צהוב ובחר באפשרות: קביעת תצורה של שירותי אישור Active Directory

certification authority post deployment

במסך האישורים, לחץ על לחצן הבא.

בחר באפשרות רשות אישורים ולחץ על לחצן הבא.

Windows certification authority role service

בחר באפשרות רשות אישורים ארגונית ולחץ על לחצן הבא.

windows enterprise ca

בחר באפשרות צור מפתח פרטי חדש ולחץ על לחצן הבא.

windows ca new private key

שמור את תצורת ברירת המחדל של הצפנה ולחץ על לחצן הבא.

windows cryptography for ca

הגדר שם נפוץ לרשות האישורים ולחץ על לחצן הבא.

בדוגמה שלנו, אנו מגדירים את השם המשותף: TECH-CA

Windows CA name configuration

הגדר את תקופת התוקף של רשות האישורים של Windows.

Windows CA validity period

שמור את מיקום ברירת המחדל של מסד הנתונים של רשות האישורים של Windows.

windows certificate database

אמת את הסיכום ולחץ על לחצן קביעת תצורה.

Windows Ca installation summary

המתן עד שהתקנת רשות האישורים של שרת Windows תסתיים.

Windows cs authority results

לאחר סיום ההתקנה של רשות האישורים, אתחל מחדש את המחשב.

סיימת את ההתקנה של רשות האישורים של Windows.

PFSense – בדיקת LDAP באמצעות תקשורת SSL שוב

עלינו לבדוק אם בקר קבוצת המחשבים שלך מציע את שירות LDAP over SSL ביציאה 636.

לאחר סיום ההתקנה של רשות האישורים, המתן 5 דקות והפעל מחדש את בקר קבוצת המחשבים.

במהלך זמן האתחול, בקר קבוצת המחשבים שלך יבקש באופן אוטומטי אישור שרת מרשות האישורים המקומית.

לאחר קבלת אישור השרת, בקר קבוצת המחשבים שלך יתחיל להציע את שירות LDAP באמצעות SSL ביציאה 636.

בבקר קבוצת המחשבים, גש לתפריט התחלה וחפש את יישום LDP.

גש לתפריט חיבור ובחר באפשרות התחבר.

נסה להתחבר ל localhost באמצעות יציאת TCP 636.

בחר בתיבת הסימון SSL ולחץ על לחצן אישור.

נסה להתחבר ל localhost באמצעות יציאת TCP 636.

בחר בתיבת הסימון SSL ולחץ על לחצן אישור.

הפעם, תוכל להתחבר לשירות LDAP ביציאת Localhost 636.

אם אין באפשרותך להתחבר ליציאה 636, אתחל מחדש את המחשב שוב והמתן 5 דקות נוספות.

ייתכן שתתן פעולה זו עשויה להימשך זמן מה לפני שבקר קבוצת המחשבים שלך יקבל את האישור המבוקש מרשות האישורים.

ערכת לימוד – חומת אש של בקר קבוצת מחשבים של Windows

עלינו ליצור כלל חומת אש בבקר קבוצת המחשבים של Windows.

כלל חומת אש זה יאפשר לשרת Pfsense לבצע שאילתה על מסד הנתונים של Active Directory.

בבקר קבוצת המחשבים, פתח את היישום בשם חומת האש של Windows עם אבטחה מתקדמת

צור כלל חומת אש נכנס חדש.

בחר באפשרות יציאה.

בחר באפשרות TCP.

בחר באפשרות יציאות מקומיות ספציפיות.

הזן את יציאת TCP 636.

בחר באפשרות אפשר את החיבור.

סמן את האפשרות DOMAIN.

בדוק את האפשרות פרטית.

בדוק את האפשרות ציבורית.

הזן תיאור לכלל חומת האש.

מזל טוב, יצרת את כלל חומת האש הנדרש.

כלל זה יאפשר ל- Pfsense לבצע שאילתה על מסד הנתונים של Active directory.

ערכת לימוד – הכנת תקשורת LDAPS PFSense

גש לתפריט מסוף PFsense ובחר באפשרות מספר 8 כדי לקבל גישה לשורת הפקודה.

השתמש בפקודה הבאה כדי לבדוק את תקשורת LDAPS.

הוא ינסה לקבל עותק של אישור בקר קבוצת המחשבים.

Copy to Clipboard

זכור שעליך לשנות את כתובת ה- IP לעיל לבקר התחום שלך.

על המערכת להציג עותק של אישור בקר קבוצת המחשבים.

Copy to Clipboard

חומת האש של PFsense חייבת להיות מסוגלת לקיים תקשורת עם בקר קבוצת המחשבים באמצעות שם ה- DNS שלו. (FQDN) מה אתה עושה?

Pfsense עשוי להשתמש בבקר קבוצת המחשבים כשרת DNS כדי שתוכל לתרגם TECH-DC01. טק. מקומי לכתובת ה-IP 192.168.15.10.

השתמש בפקודה PING כדי לוודא אם חומת האש של PFsense מסוגלת לתרגם את שם המחשב המארח לכתובת IP.

Copy to Clipboard

בדוגמה שלנו, חומת האש של Pfsense הצליחה לתרגם את TECH-DC01. טק. שם מחשב מארח מקומי ל- 192.168.15.10.

ערכת לימוד – יצירת חשבון קבוצת מחשבים של Windows

בשלב הבא, עלינו ליצור לפחות 2 חשבונות במסד הנתונים של Active Directory.

חשבון הניהול ישמש לכניסה בממשק האינטרנט של Pfsense.

חשבון BIND ישמש לשאילתת שאילתה על מסד הנתונים של Active Directory.

בבקר קבוצת המחשבים, פתח את היישום בשם: משתמשים ומחשבים של Active Directory

צור חשבון חדש בתוך הגורם המכיל של משתמשים.

יצירת חשבון חדש בשם: admin

סיסמה שתצורתה נקבעה למשתמש מנהל מערכת: 123qwe..

חשבון זה ישמש לאימות כמנהל בממשק האינטרנט של Pfsense.

צור חשבון חדש בשם: bind

הסיסמה שתצורתה נקבעה למשתמש BIND: 123qwe..

חשבון זה ישמש לשאילתת שאילתה על הסיסמאות המאוחסנות במסד הנתונים של Active Directory.

מזל טוב, יצרת את חשבונות Active Directory הדרושים.

ערכת לימוד – יצירת קבוצת קבוצת מחשבים של Windows

לאחר מכן, עלינו ליצור קבוצה אחת לפחות במסד הנתונים של Active Directory.

בבקר קבוצת המחשבים, פתח את היישום בשם: משתמשים ומחשבים של Active Directory

צור קבוצה חדשה בתוך הגורם המכיל של משתמשים.

יצירת קבוצה חדשה בשם: pfsense-admin

לחברים בקבוצה זו תהיה הרשאת מנהל מערכת בממשק האינטרנט של PFsense.

חשוב! הוסף את משתמש מנהל המערכת כחבר בקבוצת הניהול של pfsense.

ברכותיי, יצרת את קבוצת Active Directory הדרושה.

PFSense – אימות LDAPS PFSense ב- Active Directory

פתח תוכנת דפדפן, הזן את כתובת ה- IP של חומת האש של Pfsense וממשק אינטרנט גישה.

בדוגמה שלנו, כתובת ה- URL הבאה הוזנה בדפדפן:

• 80 https://192.168.15.11

יש להציג את ממשק האינטרנט של Pfsense.

במסך הבקשה, הזן את פרטי הכניסה לסיסמה המהווה ברירת מחדל של Pfsense.

• Username: admin
• סיסמה: pfsense

לאחר כניסה מוצלחת, תישלח ללוח המחוונים של Pfsense.

גש לתפריט מערכת Pfsense ובחר באפשרות מנהל משתמש.

במסך מנהל משתמש, גש ללשונית שרתי אימות ולחץ על לחצן הוסף.

באזור הגדרות שרת, בצע את התצורה הבאה:

• Description name: ACTIVE DIRECTORY
• Type: LDAP

באזור הגדרות שרת LDAP, בצע את התצורה הבאה:

• שם מחשב מארח או כתובת IP – TECH-DC01. טק. מקומי
• ערך יציאה – 636
• תחבורה – SSL – מוצפן
• Protocol version – 3
• Server Timeout – 25
• Search Scope – Entire Subtree
• Base DN – dc=tech,dc=local
• Authentication containers – CN=Users,DC=tech,DC=local
• Extended query – Disabled
• Bind anonymous – Disabled
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password – Password of the BIND user account
• Initial Template – Microsoft AD
• User naming attribute – samAccountName
• Group naming attribute – cn
• Group member attribute – memberOf
• RFC 2307 Groups – Disabled
• Group Object Class – posixGroup
• UTF8 Encode – Disabled
• Username Alterations – Disabled

אתה צריך לשנות טק-DC01. טק. מקומי בשם המארח של בקר קבוצת המחשבים שלך.

עליך לשנות את מידע התחום כדי לשקף את סביבת הרשת שלך.

עליך לשנות את אישורי איגוד כדי לשקף את סביבת הרשת שלך.

לחץ על לחצן שמור כדי לסיים את התצורה.

בדוגמה שלנו, הגדרנו את אימות שרת Ldap ב- firewal PFSense.

PFSense – בדיקת אימות מדריך משתמשים פעיל

גש לתפריט אבחון Pfsense ובחר באפשרות אימות.

בחר את שרת האימות של Active Directory.

הזן את שם המשתמש Admin, הסיסמה שלו ולחץ על לחצן בדיקה.

אם הבדיקה שלך מצליחה, עליך לראות את ההודעה הבאה.

מזל טוב! אימות שרת PFsense LDAPS שלך ב- Active Directory נקבעה בהצלחה.

PFSense – הרשאת קבוצת Active Directory

גש לתפריט מערכת Pfsense ובחר באפשרות מנהל משתמש.

במסך מנהל המשתמשים, גש ללשונית קבוצות ולחץ על לחצן הוסף.

במסך יצירת קבוצה, בצע את התצורה הבאה:

• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group

לחץ על לחצן שמור, תישלח בחזרה למסך תצורת הקבוצה.

כעת, עליך לערוך את ההרשאות של קבוצת הניהול-pfsense.

במאפייני קבוצת הניהול של pfsense, אתר את האזור הרשאות שהוקצו ולחץ על לחצן הוסף.

באזור הרשאת קבוצה, בצע את התצורה הבאה:

• Assigned privileges – WebCfg – All pages

לחץ על לחצן שמור כדי לסיים את התצורה.

PFSense – הפוך אימות Active Directory לזמין

גש לתפריט מערכת Pfsense ובחר באפשרות מנהל משתמש.

במסך מנהל המשתמש, גש לשונית הגדרות.

במסך הגדרות, בחר את שרת אימות מדריך הספריות הפעיל.

לחץ על לחצן שמור ובדוק.

לאחר סיום התצורה, עליך להתנתק מממשק האינטרנט Pfsense.

נסה להיכנס באמצעות משתמש מנהל המערכת והסיסמה ממסד הנתונים של Active Directory.

במסך הכניסה, השתמש במשתמש מנהל המערכת ובסיסמה ממסד הנתונים של Active Directory.

• Username: admin
• סיסמה: הזן את סיסמת הספריה הפעילה.

מזל טוב! קבעת את תצורת אימות PFSense לשימוש במסד הנתונים של Active Directory.