Si desidera imparare a configurare l’autenticazione di Active Directory PFsense utilizzando Radius? In questa esercitazione verrà illustrato come autenticare gli utenti PFSense nel database di Active Directory utilizzando il protocollo Radius.

Pfsense 2.4.4-p3
• Windows 2012 R2

Esercitazione – Radius Server Installation in Windows

IP – 192.168.15.10.
• Sistema operativo – Windows 2012 R2
• Hostname – TECH-DC01
• Dominio di Active Directory: TECH.LOCAL

Aprire l’applicazione Server Manager.

Accedere al menu Gestisci e fare clic su Aggiungi ruoli e funzionalità.

Windows 2012 add role

Accedere alla schermata Ruoli server, selezionare l’opzione Servizio di accesso e criteri di rete.

Fare clic sul pulsante Avanti.

Network Policy and Access Service

Nella schermata seguente, fare clic sul pulsante Aggiungi funzionalità.

network policy features

On the Role service screen, click on the Next Button.

network policy server

Nella schermata successiva, fare clic sul pulsante Installa.

radius server installation on windows

L’installazione del server Radius in Windows 2012 è stata completata.

Server Radius tutorial – Integrazione con Active Directory

Successivamente, è necessario creare almeno 1 account nel database di Active Directory.

L’account ADMIN verrà utilizzato per accedere all’interfaccia web di Pfsense.

Nel controller di dominio aprire l’applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo account all’interno del contenitore Users.

Creare un nuovo account denominato: admin

Password configurata per l’utente ADMIN: 123qwe..

Questo account verrà utilizzato per l’autenticazione come amministratore nell’interfaccia Web Pfsense.

active directory admin account

Congratulazioni, sono stati creati gli account di Active Directory necessari.

Successivamente, è necessario creare almeno 1 gruppo nel database di Active Directory.

Nel controller di dominio aprire l’applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo gruppo all’interno del contenitore Users.Create a new group inside the Users container.

Radius Active directory group

Creare un nuovo gruppo denominato: pfsense-adminCreate a new group named: pfsense-admin

I membri di questo gruppo disporranno dell’autorizzazione di amministratore per l’interfaccia Web PFsense.

pfsense active directory group

Importante! Aggiungere l’utente admin come membro del gruppo pfsense-admin.

pfsense active directory admin group

Congratulazioni, è stato creato il gruppo di Active Directory richiesto.

Esercitazione – Firewall controller di dominio WindowsTutorial – Windows Domain Controller Firewall

È necessario creare una regola del firewall nel controller di dominio di Windows.We need to create a Firewall rule on the Windows domain controller.

Questa regola del firewall consentirà al server Pfsense di eseguire query sul database di Active Directory.

Nel controller di dominio aprire l’applicazione denominata Windows Firewall con sicurezza avanzata

Creare una nuova regola del firewall in ingresso.

Selezionare l’opzione PORTA.

Selezionare l’opzione TCP.

Selezionare l’opzione Porte locali specifiche.

Immettere la porta TCP 636.

Windows firewall open port 636

Selezionare l’opzione Consenti connessione.

Selezionare l’opzione DOMINIO.

Selezionare l’opzione PRIVATE.

Selezionare l’opzione PUBLIC.

Immettere una descrizione per la regola del firewall.

windows firewall active directory

Congratulazioni, è stata creata la regola firewall richiesta.

Questa regola consentirà a Pfsense di eseguire una query sul database di Active Directory.

Tutorial Radius Server – Add Client Devices

Sul server Radius, aprire l’applicazione denominata: Server dei criteri di rete

È necessario autorizzare il server Radius nel database di Active Directory.

Fare clic con il pulsante destro del mouse su Server dei criteri di rete (LOCAL) e selezionare l’opzione Registra server in Active Directory.

authorize radius server on windows

Nella schermata di conferma, fare clic sul pulsante OK.

Successivamente, è necessario configurare i client Radius.

I client Radius sono dispositivi a cui sarà consentito richiedere l’autenticazione dal server Radius.

Importante! Non confondere i client Radius con gli utenti Radius.

Fare clic con il pulsante destro del mouse sulla cartella Radius Clients e selezionare l’opzione Nuovo.

pfsense radius client

Di seguito è riportato un esempio di client configurato per consentire a un firewall Pfsense di connettersi al server Radius.

È necessario impostare la seguente configurazione:

– Nome descrittivo al dispositivo – Aggiungi una descrizione a voi Pfsense
– Indirizzo IP del dispositivo – Indirizzo IP del firewall PFsense
– Dispositivo Segreto condiviso – kamisama123

Il segreto condiviso verrà utilizzato per autorizzare il dispositivo a utilizzare il server Radius.

La configurazione del client Radius è stata completata.

Tutorial Radius Server – Configure a Network Policy

A questo punto, è necessario creare un Polity di rete per consentire l’autenticazione.

Fare clic con il pulsante destro del mouse sulla cartella Criteri di rete e selezionare l’opzione Nuovo.

Immettere un nome per il criterio di rete e fare clic sul pulsante Avanti.

nps - network policy name

Fare clic sul pulsante Aggiungi condizione.

Consentiremo ai membri del gruppo PFSENSE-ADMIN di autenticarsi.

pfsense radius user group

Selezionare l’opzione Gruppo di utenti e fare clic sul pulsante Aggiungi.

nps - user group condition

Fare clic sul pulsante Aggiungi gruppi e individuare il gruppo PFSENSE-ADMIN.

pfsense admin radius group

Selezionare l’opzione Accesso concesso e fare clic sul pulsante Avanti.

Ciò consentirà ai membri del gruppo PFSENSE-ADMIN di eseguire l’autenticazione sul server Radius.

NPS Access granted

Nella schermata Metodi di autenticazione selezionare l’opzione Autenticazione non crittografata (PAP, SPAP).

Radius server authentication method

Se viene visualizzato il seguente avviso, fare clic sul pulsante No.

NPS Warning message

Nella schermata Configurazione raggio, selezionare l’opzione Attributo raggio standard e fare clic sul pulsante Aggiungi

pfsense radius nps configure settings

Selezionare l’attributo Classe e fare clic sul pulsante Aggiungi.

pfsense radius nps class

Selezionare l’opzione Stringa e immettere dieci nomi del gruppo Attivo creato in precedenza.

In questo esempio è stato creato un gruppo di Active Directory denominato PFSENSE-ADMIN.

pfsense active directory radius attribute information

Il server Raggio server dei criteri di rete passerà le informazioni sulla classe al firewall PFsense.

Il firewall Pfsense utilizzerà le informazioni sulla classe per impostare l’utente come membro del gruppo pfsense-admin.

Tieni presente che il gruppo pfsense-admin deve esistere nella directory attiva e anche nel firewall Pfsense.

pfsense radius network policy settings nps

Verificare il riepilogo della configurazione del server Radius e fare clic sul pulsante Fine.

pfsense active directory authentication summary

Congratulazioni! La configurazione del server Radius è stata completata.

PFSense – PFSense Radius Authentication in Active Directory

Aprire un software del browser, immettere l’indirizzo IP del firewall Pfsense e accedere all’interfaccia web.

Nel nostro esempio, il seguente URL è stato immesso nel browser:

https://192.168.15.11

L’interfaccia web Pfsense dovrebbe essere presentata.

Pfsense login

Nella schermata del prompt, immettere le informazioni di accesso Pfsense Default Password.

• Username: admin
Password: pfsense

Dopo un accesso riuscito, sarai inviato al Dashboard Pfsense.

Pfsense dashboard

Accedere al menu Pfsense System e selezionare l’opzione User manager( User manager).

pfsense user manager menu

Nella schermata User manager, accedere alla scheda Server di autenticazione e fare clic sul pulsante Aggiungi.

pfsense authentication servers

Nell’area Impostazioni server eseguire la configurazione seguente:

Nome descrizione: ACTIVE Directory
Tipo: RADIUS

pfsense radius authentication server

Nell’area Impostazioni server RADIUS eseguire la configurazione seguente:

Protocollo – PAP
– Nome host o indirizzo IP – 192.168.15.10
Segreto condiviso – Il segreto condiviso del client Radius (kamisama123)
Servizi offerti – Autenticazione e contabilità
Porta di autenticazione – 1812
Porto di acconting – 1813
Timeout autenticazione – 5

È necessario modificare l’indirizzo IP del server Radius.

È necessario modificare il segreto condiviso per riflettere il segreto condiviso del client Radius.

pfsense radius server settings

Fare clic sul pulsante Salva per completare la configurazione.

Nel nostro esempio, abbiamo configurato l’autenticazione del server Radius sul firewall PFSense.

Raggio PFSense – Test dell’autenticazione di Active Directory

Accedere al menu Diagnostica Pfsense e selezionare l’opzione Autenticazione.

pfsense diagnostics authentication

Selezionare il server di autenticazione Active Directory.

Inserisci il nome utente admin, la sua password e fai clic sul pulsante Test.

pfsense ldap authentication test

Se il test ha esito positivo, verrà visualizzato il messaggio seguente.

pfsense active directory login test

Congratulazioni! L’autenticazione del server PFsense Radius in Active Directory è stata configurata in modo sussidiante.

PFSense – Autorizzazione gruppo Active Directory

Accedere al menu Pfsense System e selezionare l’opzione User manager( User manager).

pfsense user manager menu

Nella schermata User manager, accedere alla scheda Gruppi e fare clic sul pulsante Aggiungi.

pfsense group manager

Nella schermata Creazione gruppo, effettuare le seguenti operazioni di configurazione:

Nome del gruppo – pfsense-admin
Ambito – Remoto
– Descrizione – Gruppo di Active Directory

Fare clic sul pulsante Salva, si verrà inviati di nuovo alla schermata di configurazione del gruppo.

pfsense group creation

A questo punto, è necessario modificare le autorizzazioni del gruppo pfsense-admin.

Nelle proprietà del gruppo pfsense-admin, individuare l’area Privilegi assegnati e fare clic sul pulsante Aggiungi.

Nell’area Privilegio gruppo eseguire la configurazione seguente:

– Privilegi assegnati – WebCfg – Tutte le pagine

pfsense active directory group permission

Fare clic sul pulsante Salva per completare la configurazione.

PFSense – Abilitare l’autenticazione di Active Directory

Accedere al menu Pfsense System e selezionare l’opzione User manager( User manager).

pfsense user manager menu

Nella schermata Gestione utenti, accedere alla scheda Impostazioni.

pfsense authentication settings menu

Nella schermata Impostazioni selezionare il server di autenticazione Active Directory.

Fare clic sul pulsante Salva e verifica.

pfsense active directory authentication settings

Dopo aver terminato la configurazione, è necessario disconnettersi dall’interfaccia Web Pfsense.

Provare ad accedere utilizzando l’utente admin e la password dal database di Active Directory.

Nella schermata di accesso, utilizzare l’utente admin e la password del database di Active Directory.

• Username: admin
• Password: immettere la password di Active Directory.

Pfsense login

Congratulazioni! L’autenticazione PFSense è stata configurata per l’utilizzo del database di Active Directory.