Si desidera imparare a configurare l'autenticazione LDAP OPNsense in Active Directory? In questo tutorial, ti mostreremo come autenticare gli utenti OPNsense utilizzando il database di Active Directory da Microsoft Windows e il protocollo LDAP.

OSETto 19,7

Elenco attrezzature

Nella sezione seguente viene presentato l'elenco delle attrezzature utilizzate per creare questa esercitazione.

Come Amazon Associate, guadagno dagli acquisti idonei.

Esercitazione - Firewall controller di dominio WindowsTutorial - Windows Domain Controller Firewall

In primo luogo, è necessario creare una regola di Firewall nel controller di dominio di Windows.

Questa regola del firewall consentirà al server Opnsense di eseguire query sul database di Active Directory.

Nel controller di dominio aprire l'applicazione denominata Windows Firewall con sicurezza avanzata

Creare una nuova regola del firewall in ingresso.

Selezionare l'opzione PORTA.

Selezionare l'opzione TCP.

Selezionare l'opzione Porte locali specifiche.

Immettere la porta TCP 389.

Selezionare l'opzione Consenti connessione.

Selezionare l'opzione DOMINIO.

Selezionare l'opzione PRIVATE.

Selezionare l'opzione PUBLIC.

Immettere una descrizione per la regola del firewall.

windows firewall active directory

Congratulazioni, è stata creata la regola firewall richiesta.

Questa regola consentirà a Opnsense di eseguire una query sul database di Active Directory.

Tutorial - Creazione dell'account di dominio di Windows

Successivamente, è necessario creare almeno 2 account nel database di Active Directory.

L'account ADMIN verrà utilizzato per accedere all'interfaccia web Opnsense.

L'account BIND verrà utilizzato per eseguire query sul database di Active Directory.

Nel controller di dominio aprire l'applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo account all'interno del contenitore Users.

Creare un nuovo account denominato: admin

Password configurata per l'utente ADMIN: 123qwe..

Questo account verrà utilizzato per l'autenticazione come amministratore nell'interfaccia Web Opnsense.

active directory admin account

Creare un nuovo account denominato: bind

Password configurata per l'utente BIND: 123qwe..

Questo account verrà utilizzato per interrogare le password archiviate nel database di Active Directory.

active directory bind account

Congratulazioni, sono stati creati gli account di Active Directory necessari.

OPNsense - Autenticazione LDAP OPNsense in Active Directory

Aprire un software del browser, inserire l'indirizzo IP del firewall Opnsense e accedere all'interfaccia web.

Nel nostro esempio, il seguente URL è stato immesso nel browser:

https://192.168.15.11

L'interfaccia web opnsense dovrebbe essere presentato.

opnsense login

Nella schermata del prompt, immettere le informazioni di accesso della password di default OPNsense.

• Username: root
Password: Password impostata durante OPNsense l'installazione

Dopo un accesso riuscito, si verrà inviati al Dashboard OPNSense.

opnsense dashboard

Accedere al menu Sistema Opnsense, accedere al sottomenu Access e selezionare l'opzione Server.

opnsense servers menu

Fare clic sul pulsante Aggiungi ed eseguire la seguente configurazione.

Nome descrittivo: LDAP
Tipo: LDAP
- Nome host o indirizzo IP - 34.212.170.252
Valore della porta - 389
Trasporto - TCP Standard
Versione protocollo - 3
- Associare le credenziali - CN, bind, CN , Users, DC , tech, DC , locale
- Bind credenziali Password - 123qwe.
Ambito di ricerca - Intero sottoalbero
DN di base - DC -tecnologia,DC-locale
Contenitori di autenticazione - CN , Users, DC , TECH, DC , LOCAL
Modello iniziale - Microsoft AD
- Attributo di denominazione utente - sAMAccountName
- Leggere le proprietà
- Sincronizzare i gruppi
- Limitare i gruppi

È necessario modificare l'indirizzo IP per l'indirizzo IP del controller di dominio IP.

È necessario modificare le informazioni di dominio per riflettere l'ambiente di rete.

È necessario modificare le credenziali di binding per riflettere l'ambiente di rete.

opnsense ldap authentication

Fare clic sul pulsante Salva per completare la configurazione.

Nel nostro esempio, abbiamo configurato l'autenticazione del server LDAP sul firewall OPNsense.

OPNsense - Test dell'autenticazione LDAP

Accedere al menu Sistema Opnsense, accedere al sottomenu Accesso e selezionare l'opzione Tester.

Selezionare il server di autenticazione LDAP.

Inserisci il nome utente admin, la sua password e fai clic sul pulsante Test.

Se il test ha esito positivo, verrà visualizzato il messaggio seguente.

opnsense ldap authentication test

Congratulazioni! L'autenticazione LDAP OPNsense in Active Directory è stata configurata in modo completo.

OPNsense - Autorizzazione gruppo LDAP

Accedere al menu Sistema Opnsense, accedere al sottomenu Accesso e selezionare l'opzione Gruppi.

opnsense servers menu

Aggiungere un nuovo gruppo locale sul firewall OPNsense.

Nella schermata Creazione gruppo, effettuare le seguenti operazioni di configurazione:

Nome del gruppo - opnsense-admins
Descrizione - Gruppo Ldap
- Membro di - facoltativamente è possibile aggiungere l'account utente root.

Fare clic sul pulsante Salva, si verrà inviati di nuovo alla schermata di configurazione del gruppo.

opnsense radius group

A questo punto, è necessario modificare le autorizzazioni del gruppo opnsense-admins.

Nelle proprietà del gruppo opnsense-admins, individuare l'area Privilegi assegnati e fare clic sul pulsante Aggiungi.

Nell'area Privilegio gruppo eseguire la configurazione seguente:

- Privilegi assegnati - GUI - TUTTE le pagine

opnsense group permission

Fare clic sul pulsante Salva per completare la configurazione.

OPNsense - Autorizzazione utente LDAP

OPNsense richiede che tutti gli account utente Ldap esistano nel database locale per eseguire la configurazione di autorizzazione appropriata.

Aggiungeremo l'account utente admin al database locale.

Si sta per configurare l'account locale denominato membro admin del gruppo opnsense-admins.

Accedere al menu Sistema Opnsense, accedere al sottomenu Access e selezionare l'opzione Utenti.

opnsense servers menu

Aggiungere un nuovo account utente locale utilizzando lo stesso nome utente dall'account di Active Directory.

opnsense radius user

Impostare questo account utente come membro del gruppo opnsense-admins.

opnsense radius user group

Fare clic sul pulsante Salva per completare la configurazione.

OPNsense - Abilitare l'autenticazione LDAP

Accedere al menu Sistema Opnsense, accedere al sottomenu Impostazioni e selezionare l'opzione Amministrazione.

opnsense administration menu

Individuare l'area di autenticazione, selezionare l'autenticazione LDAP e fare clic sul pulsante Salva.

opnsense ldap active directory

Facoltativamente, selezionare il database locale come secondo metodo di autenticazione.

Dopo aver terminato la configurazione, si dovrebbe disconnettere l'interfaccia web Opnsense.

Provare ad accedere utilizzando l'utente admin e la password dal database di Active Directory.

Nella schermata di accesso, utilizzare l'utente admin e la password del database di Active Directory.

• Username: admin
• Password: immettere la password di Active Directory.

opnsense login

Congratulazioni! L'autenticazione OPNsense è stata configurata per l'utilizzo del database di Active Directory tramite LDAP.