Si desidera imparare a configurare l'autenticazione di Active Directory PFsense utilizzando LDAP su SSL? In questa esercitazione, ti mostreremo come autenticare gli utenti PFSense sul database di Active Directory utilizzando il protocollo LDAPS per una connessione crittografata.

Pfsense 2.4.4-p3
• Windows 2012 R2

Esercitazione - Installazione di Active Directory in WindowsTutorial - Active Directory Installation on Windows

IP - 192.168.15.10.
• Sistema operativo - Windows 2012 R2
• Hostname - TECH-DC01
• Dominio di Active Directory: TECH.LOCAL

Se si dispone già di un dominio di Active Directory, è possibile ignorare questa parte dell'esercitazione.

Aprire l'applicazione Server Manager.

Accedere al menu Gestisci e fare clic su Aggiungi ruoli e funzionalità.

Accedere alla schermata Ruolo server, selezionare il servizio di dominio Active Directory e fare clic sul pulsante Avanti.

active directory installation

Nella schermata seguente, fare clic sul pulsante Aggiungi funzionalità.

active directory windows installation

Continuare a fare clic sul pulsante Avanti fino a raggiungere l'ultima schermata.

windows install active directory

Nella schermata di conferma, fare clic sul pulsante Installa.

active directory installation confirmation

Attendere il completamento dell'installazione di Active Directory.

active directory installation windows

Aprire l'applicazione Server Manager.

Fare clic sul menu bandiera gialla e selezionare l'opzione per promuovere il server a un controller di dominio

active directory configuration

Selezionare l'opzione Aggiungi una nuova foresta e immettere un nome di dominio radice.

Nel nostro esempio, abbiamo creato un nuovo dominio denominato: TECH. Locale.

deployment active directory

Immettere una password per proteggere il ripristino di Active Directory.

domain controller options

Nella schermata Opzioni DNS, fare clic sul pulsante Avanti.

active directory dns options

Verificare il nome Netbios assegnato al dominio e fare clic sul pulsante Avanti.

ad netbios name

Fare clic sul pulsante Avanti.

active directory paths

Rivedere le opzioni di configurazione e fare clic sul pulsante Avanti.

active directory summary

Nella schermata Controllo prerequisiti, fare clic sul pulsante Installa.

active directory prerequisites check

Attendere il completamento della configurazione di Active Directory.

active directory installation wizard

Al termine dell'installazione di Active Directory, il computer verrà riavviato automaticamente

La configurazione di Active Directory sul server Windows è stata completata.

PFSense - Test della comunicazione LDAP su SSL

È necessario verificare se il controller di dominio offre il servizio LDAP su SSL sulla porta 636.

Nel controller di dominio, accedere al menu di avvio e cercare l'applicazione LDP.

Windows 2012 desktop

In primo luogo, è possibile verificare se il controller di dominio offre il servizio LDAP sulla porta 389.First, let's test if your domain controller is offering the LDAP service on port 389.

Accedere al menu Connessione e selezionare l'opzione Connetti.

Windows LDP application

Provare a connettersi al localhost utilizzando la porta TCP 389.

Windows ldp ldap connection

Dovrebbe essere possibile connettersi al servizio LDAP sulla porta localhost 389.

Windows ldap connection Ok

A questo punto, è necessario verificare se il controller di dominio offre il servizio LDAP su SSL sulla porta 636.

Aprire una nuova finestra dell'applicazione LDP e provare a connettersi al localhost utilizzando la porta TCP 636.

Selezionare la casella di controllo SSL e fare clic sul pulsante OK.

Windows ldp ssl connection

Se il sistema visualizza un messaggio di errore, il controller di dominio non offre ancora il servizio LDAPS.

Per risolvere questo problema, verrà installata un'autorità di certificazione Windows nella parte successiva di questa esercitazione.

ldp error 636 warning

Se è stato possibile connettersi correttamente al localhost sulla porta 636 utilizzando la crittografia SSL, è possibile ignorare la parte successiva di questa esercitazione.

Esercitazione - Installazione dell'Autorità di certificazione in WindowsTutorial - Certification Authority Installation on Windows

È necessario installare il servizio dell'autorità di certificazione di Windows.We need to install the Windows certification authority service.

L'autorità di certificazione locale fornirà al controller di dominio un certificato che consentirà al servizio LDAPS di operare sulla porta TCP 636.

Aprire l'applicazione Server Manager.

Accedere al menu Gestisci e fare clic su Aggiungi ruoli e funzionalità.

Windows 2012 add role

Accedere alla schermata Ruolo server, selezionare Servizi certificati Active Directory e fare clic sul pulsante Avanti.

windows certification authority installation

Nella schermata seguente, fare clic sul pulsante Aggiungi funzionalità.

active directory certificate service

Continuare a fare clic sul pulsante Avanti fino a raggiungere la schermata del servizio ruolo.

Attivare l'opzione denominata Autorità di certificazione e fare clic sul pulsante Avanti.

Windows server 2012 Certification authority install

Nella schermata di conferma, fare clic sul pulsante Installa.

Windows ca confirmation screen

Attendere il completamento dell'installazione dell'Autorità di certificazione.

Windows 2012 R2 certification authority installation

Aprire l'applicazione Server Manager.

Fare clic sul menu bandiera gialla e selezionare l'opzione: Configura Servizi certificati Active Directory

certification authority post deployment

Nella schermata delle credenziali, fare clic sul pulsante Avanti.

Selezionare l'opzione Autorità di certificazione e fare clic sul pulsante Avanti.

Windows certification authority role service

Selezionare l'opzione CA globale (enterprise) e fare clic sul pulsante Avanti.

windows enterprise ca

Selezionare l'opzione Crea una nuova chiave privata e fare clic sul pulsante Avanti.

windows ca new private key

Mantenere la configurazione di crittografia predefinita e fare clic sul pulsante Avanti.

windows cryptography for ca

Impostare un nome comune sull'autorità di certificazione e fare clic sul pulsante Avanti.

Nel nostro esempio, abbiamo impostato il nome comune: TECH-CA

Windows CA name configuration

Impostare il periodo di validità dell'autorità di certificazione Windows.

Windows CA validity period

Mantenere il percorso predefinito del database dell'autorità di certificazione di Windows.Keep the default Windows Certification authority database location.

windows certificate database

Verificare il riepilogo e fare clic sul pulsante Configura.

Windows Ca installation summary

Attendere il completamento dell'installazione dell'autorità di certificazione server Windows.

Windows cs authority results

Al termine dell'installazione dell'autorità di certificazione, riavviare il computer.

L'installazione dell'Autorità di certificazione Windows è stata completata.

PFSense - Test di riimpostazione di LDAP su SSL Communication

È necessario verificare se il controller di dominio offre il servizio LDAP su SSL sulla porta 636.

Dopo aver completato l'installazione dell'autorità di certificazione, attendere 5 minuti e riavviare il controller di dominio.

Durante l'avvio, il controller di dominio richiederà automaticamente un certificato server all'autorità di certificazione locale.

Dopo aver ottenuto il certificato server, il controller di dominio inizierà ad offrire il servizio LDAP su SSL sulla porta 636.

Nel controller di dominio, accedere al menu di avvio e cercare l'applicazione LDP.

Windows 2012 desktop

Accedere al menu Connessione e selezionare l'opzione Connetti.

Windows LDP application

Provare a connettersi al localhost utilizzando la porta TCP 636.

Selezionare la casella di controllo SSL e fare clic sul pulsante OK.

Windows ldp ssl connection

Provare a connettersi al localhost utilizzando la porta TCP 636.

Selezionare la casella di controllo SSL e fare clic sul pulsante OK.

Questa volta, dovrebbe essere possibile connettersi al servizio LDAP sulla porta localhost 636.

Windows ldaps connection Ok

Se non riesci a connetterti alla porta 636, riavvia di nuovo il computer e attendi altri 5 minuti.

Potrebbe essere necessario del tempo prima che il controller di dominio riceva il certificato richiesto dall'autorità di certificazione.

Esercitazione - Firewall controller di dominio WindowsTutorial - Windows Domain Controller Firewall

È necessario creare una regola del firewall nel controller di dominio di Windows.We need to create a Firewall rule on the Windows domain controller.

Questa regola del firewall consentirà al server Pfsense di eseguire query sul database di Active Directory.

Nel controller di dominio aprire l'applicazione denominata Windows Firewall con sicurezza avanzata

Creare una nuova regola del firewall in ingresso.

Selezionare l'opzione PORTA.

Selezionare l'opzione TCP.

Selezionare l'opzione Porte locali specifiche.

Immettere la porta TCP 636.

Windows firewall open port 636

Selezionare l'opzione Consenti connessione.

Selezionare l'opzione DOMINIO.

Selezionare l'opzione PRIVATE.

Selezionare l'opzione PUBLIC.

Immettere una descrizione per la regola del firewall.

windows firewall active directory

Congratulazioni, è stata creata la regola firewall richiesta.

Questa regola consentirà a Pfsense di eseguire una query sul database di Active Directory.

Esercitazione - Preparazione della comunicazione LDAPS PFSense

Accedere al menu della console PFsense e selezionare l'opzione numero 8 per avere accesso alla riga di comando.

pfsense menu

Utilizzare il comando seguente per verificare la comunicazione LDAPS.

Si tenterà di ottenere una copia del certificato del controller di dominio.

Copy to Clipboard

Tenere presente che è necessario modificare l'indirizzo IP precedente al controller di dominio.

Il sistema deve visualizzare una copia del certificato del controller di dominio.

Copy to Clipboard

Il firewall PFsense deve essere in grado di comunicare con il controller di dominio utilizzando il relativo nome DNS. (FQDN)

Il Pfsense può utilizzare il controller di dominio come server DNS per essere in grado di tradurre TECH-DC01. Tech. LOCAL All'indirizzo IP 192.168.15.10.

Utilizzare il comando PING per verificare se il firewall PFsense è in grado di tradurre il nome host in indirizzo IP.

Copy to Clipboard

Nel nostro esempio, il firewall Pfsense è stato in grado di tradurre il TECH-DC01. Tech. Nome host LOCAL a 192.168.15.10.

Tutorial - Creazione dell'account di dominio di Windows

Successivamente, è necessario creare almeno 2 account nel database di Active Directory.

L'account ADMIN verrà utilizzato per accedere all'interfaccia web di Pfsense.

L'account BIND verrà utilizzato per eseguire query sul database di Active Directory.

Nel controller di dominio aprire l'applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo account all'interno del contenitore Users.

Creare un nuovo account denominato: admin

Password configurata per l'utente ADMIN: 123qwe..

Questo account verrà utilizzato per l'autenticazione come amministratore nell'interfaccia Web Pfsense.

active directory admin account

Creare un nuovo account denominato: bind

Password configurata per l'utente BIND: 123qwe..

Questo account verrà utilizzato per interrogare le password archiviate nel database di Active Directory.

active directory bind account

Congratulazioni, sono stati creati gli account di Active Directory necessari.

Esercitazione - Creazione di gruppi di dominio di WindowsTutorial - Windows Domain Group Creation

Successivamente, è necessario creare almeno 1 gruppo nel database di Active Directory.

Nel controller di dominio aprire l'applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo gruppo all'interno del contenitore Users.Create a new group inside the Users container.

Radius Active directory group

Creare un nuovo gruppo denominato: pfsense-adminCreate a new group named: pfsense-admin

I membri di questo gruppo disporranno dell'autorizzazione di amministratore per l'interfaccia Web PFsense.

pfsense active directory group

Importante! Aggiungere l'utente admin come membro del gruppo pfsense-admin.

pfsense active directory admin group

Congratulazioni, è stato creato il gruppo di Active Directory richiesto.

PFSense - Autenticazione LDAPS PFSense in Active Directory

Aprire un software del browser, immettere l'indirizzo IP del firewall Pfsense e accedere all'interfaccia web.

Nel nostro esempio, il seguente URL è stato immesso nel browser:

https://192.168.15.11

L'interfaccia web Pfsense dovrebbe essere presentata.

Pfsense login

Nella schermata del prompt, immettere le informazioni di accesso Pfsense Default Password.

• Username: admin
Password: pfsense

Dopo un accesso riuscito, sarai inviato al Dashboard Pfsense.

Pfsense dashboard

Accedere al menu Pfsense System e selezionare l'opzione User manager( User manager).

pfsense user manager menu

Nella schermata User manager, accedere alla scheda Server di autenticazione e fare clic sul pulsante Aggiungi.

pfsense authentication servers

Nell'area Impostazioni server eseguire la configurazione seguente:

Nome descrizione: ACTIVE Directory
Tipo: LDAP

Nell'area Impostazioni server LDAP, effettuare le seguenti operazioni di configurazione:

- Nome host o indirizzo IP - TECH-DC01. Tech. Locale
Valore della porta - 636
Trasporto - SSL - Crittografato
Versione protocollo - 3
Timeout server - 25
Ambito di ricerca - Intero sottoalbero
DN di base - dc-tech,dc-locale
Contenitori di autenticazione - CN , Users, DC , tech, DC , locale
Query estesa - Disabilitato
- Bind anonimo - Disabilitato
- Associare le credenziali - CN, bind, CN , Users, DC , tech, DC , locale
Password di binding delle credenziali - Password dell'account utente BIND
Modello iniziale - Microsoft AD
- Attributo di denominazione utente - samAccountName
Attributo di denominazione dei gruppi - cn
- Attributo membro del gruppo - memberOf
Gruppi RFC 2307 - Disabilitato
Classe di oggetti di gruppo - posixGroup
Codifica UTF8 - Disabilitato
- Alterazioni nome utente - Disabilitato

È necessario modificare TECH-DC01. Tech. LOCAL al nome host del controller di dominio.

È necessario modificare le informazioni di dominio per riflettere l'ambiente di rete.

È necessario modificare le credenziali di binding per riflettere l'ambiente di rete.

pfsense ldaps authenticationpfsense server authentication ldap setup

Fare clic sul pulsante Salva per completare la configurazione.

Nel nostro esempio, abbiamo configurato l'autenticazione del server Ldap sul firewal PFSense.

PFSense - Test dell'autenticazione di Active Directory

Accedere al menu Diagnostica Pfsense e selezionare l'opzione Autenticazione.

pfsense diagnostics authentication

Selezionare il server di autenticazione Active Directory.

Inserisci il nome utente admin, la sua password e fai clic sul pulsante Test.

pfsense ldap authentication test

Se il test ha esito positivo, verrà visualizzato il messaggio seguente.

pfsense active directory login test

Congratulazioni! L'autenticazione del server LDAPS PFsense in Active Directory è stata configurata in modo sussidiante.

PFSense - Autorizzazione gruppo Active Directory

Accedere al menu Pfsense System e selezionare l'opzione User manager( User manager).

pfsense user manager menu

Nella schermata User manager, accedere alla scheda Gruppi e fare clic sul pulsante Aggiungi.

pfsense group manager

Nella schermata Creazione gruppo, effettuare le seguenti operazioni di configurazione:

Nome del gruppo - pfsense-admin
Am