アクティブ ディレクトリで OPNsense LDAP 認証を設定する方法を学習しますか? このチュートリアルでは、Microsoft Windows と LDAP プロトコルからアクティブ ディレクトリ データベースを使用して OPNsense ユーザーを認証する方法を示します。
• オプスセンス 19.7
機器リスト
次のセクションでは、このチュートリアルの作成に使用される機器の一覧を示します。
アマゾンアソシエイトとして、私は適格な購入から稼ぎます。
OPNsense - 関連するチュートリアル:
このページでは、OPNsense に関連するチュートリアルのリストにすばやくアクセスできます。
チュートリアル - Windows ドメイン コントローラ ファイアウォール
まず、Windows ドメイン コントローラにファイアウォールルールを作成する必要があります。
このファイアウォールルールにより、OpnSense サーバーは Active ディレクトリ データベースに対してクエリを実行できます。
ドメイン コントローラで、セキュリティが強化された Windows ファイアウォールという名前のアプリケーションを開きます。
新しい受信ファイアウォール規則を作成します。
[ポート] オプションを選択します。
[TCP] オプションを選択します。
[特定のローカル ポート] オプションを選択します。
TCP ポート 389 を入力します。
[接続を許可する] オプションを選択します。
ドメイン オプションを確認します。
[プライベート] オプションをオンにします。
[パブリック] オプションをオンにします。
ファイアウォール規則の説明を入力します。
これで、必要なファイアウォールルールが作成されました。
このルールは、Opnsense がアクティブ ディレクトリ データベースに対してクエリを実行できるようにします。
チュートリアル - Windows ドメイン アカウントの作成
次に、Active ディレクトリ データベースに少なくとも 2 つのアカウントを作成する必要があります。
ADMINアカウントはOpnSenseウェブインターフェースでログインするために使用されます。
BIND アカウントは、アクティブ ディレクトリ データベースのクエリに使用されます。
ドメイン コントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター
Users コンテナ内に新しいアカウントを作成します。
admin という名前の新しいアカウントを作成します。
ADMIN ユーザーに設定されたパスワード: 123qwe..
このアカウントは Opnsense Web インターフェイスで管理者として認証するために使用されます。
次の名前の新しいアカウントを作成します。
BIND ユーザーに構成されたパスワード: 123qwe.。
このアカウントは、Active Directory データベースに保存されているパスワードのクエリに使用されます。
これで、必要なアクティブ ディレクトリ アカウントが作成されました。
OPNSense - アクティブ ディレクトリでの OPNSense LDAP 認証
ブラウザソフトウェアを開き、OpnsenseファイアウォールのIPアドレスを入力し、Webインターフェイスにアクセスします。
この例では、ブラウザに次の URL が入力されています。
• https://192.168.15.11
opnsense Web インターフェイスを表示する必要があります。
プロンプト画面で、OPNsense デフォルトパスワードのログイン情報を入力します。
• Username: root
• パスワード:OPNsense インストール中に設定されたパスワード
ログインが成功すると、OPNSense ダッシュボードに送信されます。
「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして、「サーバー」オプションを選択します。
[追加]ボタンをクリックし、次の構成を実行します。
• わかりやすい名前: LDAP
• タイプ: LDAP
ホスト名または IP アドレス - 34.212.170.252
• ポート値 - 389
• トランスポート - TCP 標準
• プロトコルバージョン - 3
• 資格情報をバインドする - CN =バインド、CN=ユーザー、DC=技術、DC=ローカル
• 資格情報のバインド パスワード - 123qwe.
• 検索範囲 - サブツリー全体
• ベース DN - DC=技術、DC=ローカル
• 認証コンテナ - CN =ユーザー、DC=技術、DC=ローカル
• 初期テンプレート - マイクロソフト AD
• ユーザー名前付け属性 - sAMAccountName
• プロパティの読み取り
• グループの同期
• リミット グループ
IP アドレスをドメイン コントローラの IP に変更する必要があります。
ネットワーク環境を反映するようにドメイン情報を変更する必要があります。
ネットワーク環境を反映するようにバインド資格情報を変更する必要があります。
[保存] ボタンをクリックして、構成を完了します。
この例では、OPNSense ファイアウォールで LDAP サーバー認証を構成しました。
OPNsense - LDAP 認証のテスト
「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして「テスター」オプションを選択します。
LDAP 認証サーバーを選択します。
管理者のユーザー名、そのパスワードを入力し、テストボタンをクリックします。
テストが成功すると、次のメッセージが表示されます。
おめでとう! アクティブ ディレクトリの OPNsense LDAP 認証が正常に構成されました。
OPNSense - LDAP グループ権限
「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして「グループ」オプションを選択します。
OPNSense ファイアウォールに新しいローカル グループを追加します。
[グループの作成] 画面で、次の構成を実行します。
• グループ名 - オプセンス管理者
• 説明 - Ldap グループ
• のメンバー - 必要に応じて、ルートユーザーアカウントを追加することができます。
保存ボタンをクリックすると、グループ構成画面に戻ります。
ここで、opnsense-admins グループの権限を編集する必要があります。
opnsense-admins グループのプロパティで、[割り当てられた権限]領域を見つけて、[追加]ボタンをクリックします。
[グループ特権] 領域で、次の構成を実行します。
割り当てられた特権 - GUI - すべてのページ
[保存] ボタンをクリックして、構成を完了します。
OPNSense - LDAP ユーザー権限
OPNsense では、適切な認証構成を実行するために、すべての Ldap ユーザー・アカウントがローカル・データベース上に存在する必要があります。
ローカル データベースに管理者ユーザー アカウントを追加します。
opnsense-admins グループの admin メンバーという名前のローカル アカウントを構成します。
「Opnsense システム」メニューにアクセスし、「アクセス」サブメニューにアクセスして「ユーザー」オプションを選択します。
Active ディレクトリ アカウントから同じユーザー名を使用して、新しいローカル ユーザー アカウントを追加します。
このユーザー アカウントを opnsense-admins グループのメンバーにします。
[保存] ボタンをクリックして、構成を完了します。
OPNsense - LDAP 認証を有効にする
「Opnsense システム」メニューにアクセスし、「設定」サブメニューにアクセスして、「管理」オプションを選択します。
認証領域を見つけ、LDAP認証を選択して[保存]ボタンをクリックします。
必要に応じて、2 番目の認証方法としてローカル データベースを選択します。
設定が完了したら、Opnsense Web インターフェイスからログオフする必要があります。
管理者ユーザーと、Active Directory データベースのパスワードを使用してログインを試みます。
ログイン画面で、管理者ユーザーと Active Directory データベースのパスワードを使用します。
• Username: admin
• パスワード: アクティブディレクトリパスワードを入力します。
おめでとう! LDAP を使用してアクティブ・ディレクトリー・データベースを使用するように OPNsense 認証を構成しました。
