アクティブ ディレクトリで OPNsense LDAP 認証を設定する方法を学習しますか? このチュートリアルでは、Microsoft Windows と LDAP プロトコルからアクティブ ディレクトリ データベースを使用して OPNsense ユーザーを認証する方法を示します。

• オプスセンス 19.7

機器リスト

次のセクションでは、このチュートリアルの作成に使用される機器の一覧を示します。

アマゾンアソシエイトとして、私は適格な購入から稼ぎます。

チュートリアル – Windows ドメイン コントローラ ファイアウォール

まず、Windows ドメイン コントローラにファイアウォールルールを作成する必要があります。

このファイアウォールルールにより、OpnSense サーバーは Active ディレクトリ データベースに対してクエリを実行できます。

ドメイン コントローラで、セキュリティが強化された Windows ファイアウォールという名前のアプリケーションを開きます。

新しい受信ファイアウォール規則を作成します。

zabbix active directory

[ポート] オプションを選択します。

zabbix windows firewall port

[TCP] オプションを選択します。

[特定のローカル ポート] オプションを選択します。

TCP ポート 389 を入力します。

zabbix windows firewall port ldap

[接続を許可する] オプションを選択します。

zabbix windows firewall allow connection

ドメイン オプションを確認します。

[プライベート] オプションをオンにします。

[パブリック] オプションをオンにします。

Zabbix windows firewall profile

ファイアウォール規則の説明を入力します。

windows firewall active directory

これで、必要なファイアウォールルールが作成されました。

このルールは、Opnsense がアクティブ ディレクトリ データベースに対してクエリを実行できるようにします。

チュートリアル – Windows ドメイン アカウントの作成

次に、Active ディレクトリ データベースに少なくとも 2 つのアカウントを作成する必要があります。

ADMINアカウントはOpnSenseウェブインターフェースでログインするために使用されます。

BIND アカウントは、アクティブ ディレクトリ データベースのクエリに使用されます。

ドメイン コントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

Zabbix active directory account

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: 123qwe..

このアカウントは Opnsense Web インターフェイスで管理者として認証するために使用されます。

active directory admin account
zabbix active directory admin properties

次の名前の新しいアカウントを作成します。

BIND ユーザーに構成されたパスワード: 123qwe.。

このアカウントは、Active Directory データベースに保存されているパスワードのクエリに使用されます。

active directory bind account
zabbix active directory ldap bind properties

これで、必要なアクティブ ディレクトリ アカウントが作成されました。

OPNSense – アクティブ ディレクトリでの OPNSense LDAP 認証

ブラウザソフトウェアを開き、OpnsenseファイアウォールのIPアドレスを入力し、Webインターフェイスにアクセスします。

この例では、ブラウザに次の URL が入力されています。

• https://192.168.15.11

opnsense Web インターフェイスを表示する必要があります。

opnsense login

プロンプト画面で、OPNsense デフォルトパスワードのログイン情報を入力します。

• Username: root
• パスワード:OPNsense インストール中に設定されたパスワード

ログインが成功すると、OPNSense ダッシュボードに送信されます。

opnsense dashboard

「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして、「サーバー」オプションを選択します。

opnsense servers menu

[追加]ボタンをクリックし、次の構成を実行します。

• わかりやすい名前: LDAP
• タイプ: LDAP
ホスト名または IP アドレス – 34.212.170.252
• ポート値 – 389
• トランスポート – TCP 標準
• プロトコルバージョン – 3
• 資格情報をバインドする – CN =バインド、CN=ユーザー、DC=技術、DC=ローカル
• 資格情報のバインド パスワード – 123qwe.
• 検索範囲 – サブツリー全体
• ベース DN – DC=技術、DC=ローカル
• 認証コンテナ – CN =ユーザー、DC=技術、DC=ローカル
• 初期テンプレート – マイクロソフト AD
• ユーザー名前付け属性 – sAMAccountName
• プロパティの読み取り
• グループの同期
• リミット グループ

IP アドレスをドメイン コントローラの IP に変更する必要があります。

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

ネットワーク環境を反映するようにバインド資格情報を変更する必要があります。

opnsense ldap authentication

[保存] ボタンをクリックして、構成を完了します。

この例では、OPNSense ファイアウォールで LDAP サーバー認証を構成しました。

OPNsense – LDAP 認証のテスト

「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして「テスター」オプションを選択します。

LDAP 認証サーバーを選択します。

管理者のユーザー名、そのパスワードを入力し、テストボタンをクリックします。

テストが成功すると、次のメッセージが表示されます。

opnsense ldap authentication test

おめでとう! アクティブ ディレクトリの OPNsense LDAP 認証が正常に構成されました。

OPNSense – LDAP グループ権限

「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして「グループ」オプションを選択します。

opnsense servers menu

OPNSense ファイアウォールに新しいローカル グループを追加します。

[グループの作成] 画面で、次の構成を実行します。

• グループ名 – オプセンス管理者
• 説明 – Ldap グループ
• のメンバー – 必要に応じて、ルートユーザーアカウントを追加することができます。

保存ボタンをクリックすると、グループ構成画面に戻ります。

opnsense radius group

ここで、opnsense-admins グループの権限を編集する必要があります。

opnsense-admins グループのプロパティで、[割り当てられた権限]領域を見つけて、[追加]ボタンをクリックします。

[グループ特権] 領域で、次の構成を実行します。

割り当てられた特権 – GUI – すべてのページ

opnsense group permission

[保存] ボタンをクリックして、構成を完了します。

OPNSense – LDAP ユーザー権限

OPNsense では、適切な認証構成を実行するために、すべての Ldap ユーザー・アカウントがローカル・データベース上に存在する必要があります。

ローカル データベースに管理者ユーザー アカウントを追加します。

opnsense-admins グループの admin メンバーという名前のローカル アカウントを構成します。

「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして「ユーザー」オプションを選択します。

opnsense servers menu

Active ディレクトリ アカウントから同じユーザー名を使用して、新しいローカル ユーザー アカウントを追加します。

opnsense radius user

このユーザー アカウントを opnsense-admins グループのメンバーにします。

opnsense radius user group

[保存] ボタンをクリックして、構成を完了します。

OPNsense – LDAP 認証を有効にする

「Opnsense システム」メニューにアクセスし、「設定」サブメニューにアクセスして、「管理」オプションを選択します。

opnsense administration menu

認証領域を見つけ、LDAP認証を選択して[保存]ボタンをクリックします。

opnsense ldap active directory

必要に応じて、2 番目の認証方法としてローカル データベースを選択します。

設定が完了したら、Opnsense Web インターフェイスからログオフする必要があります。

管理者ユーザーと、Active Directory データベースのパスワードを使用してログインを試みます。

ログイン画面で、管理者ユーザーと Active Directory データベースのパスワードを使用します。

• Username: admin
• パスワード: アクティブディレクトリパスワードを入力します。

opnsense login

おめでとう! LDAP を使用してアクティブ・ディレクトリー・データベースを使用するように OPNsense 認証を構成しました。