PFSense - 半径を使用したアクティブディレクトリ認証

PFSense - 半径を使用したアクティブディレクトリ認証

半径を使用して PFsense アクティブディレクトリ認証を構成する方法を学習しますか? このチュートリアルでは、Radius プロトコルを使用して、アクティブディレクトリデータベース上の PFSense ユーザーを認証する方法を示します。

• Pfsense 2.4.4-p3
• Windows 2012 R2

PFsense 関連チュートリアル:

このページでは、pfSense に関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアル - Windows 上の RADIUS サーバのインストール

IP - 192.168.15.10。
• オペラシステム - Windows 2012 R2
• Hostname - TECH-DC01
• アクティブディレクトリドメイン: TECH.LOCAL

サーバーマネージャーアプリケーションを開きます。

[管理] メニューにアクセスし、[ロールと機能の追加] をクリックします。

Windows 2012 add role

[サーバーロール] 画面にアクセスし、[ネットワークポリシーとアクセスサービス] オプションを選択します。

[次へ]ボタンをクリックします。

Network Policy and Access Service

次の画面で、[機能の追加] ボタンをクリックします。

network policy features

[役割サービス] 画面で、[次へ] ボタンをクリックします。

network policy server

次の画面で、[インストール]ボタンをクリックします。

radius server installation on windows

Windows 2012 での Radius サーバーのインストールが完了しました。

チュートリアル RADIUS サーバ - アクティブディレクトリ統合

次に、Active ディレクトリデータベースに少なくとも 1 つのアカウントを作成する必要があります。

ADMIN アカウントは、Pfsense Web インターフェイスでログインするために使用されます。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

Zabbix active directory account

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: 123qwe..

このアカウントは、Pfsense Web インターフェイスで管理者として認証するために使用されます。

active directory admin account

zabbix active directory admin properties

これで、必要なアクティブディレクトリアカウントが作成されました。

次に、Active ディレクトリデータベースに少なくとも 1 つのグループを作成する必要があります。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいグループを作成します。

Grafana active directory group

pfsense-admin という名前の新しいグループを作成します。

このグループのメンバーは、PFsense Web インターフェイスの管理者権限を持ちます。

pfsense active directory group

大事な！ pfsense-admin グループのメンバーとして、管理者ユーザーを追加します。

pfsense active directory admin group

これで、必要なアクティブディレクトリグループが作成されました。

チュートリアル - Windows ドメインコントローラファイアウォール

Windows ドメインコントローラにファイアウォールルールを作成する必要があります。

このファイアウォールルールにより、Pfsense サーバーは Active ディレクトリデータベースに対してクエリを実行できます。

ドメインコントローラで、セキュリティが強化された Windows ファイアウォールという名前のアプリケーションを開きます。

新しい受信ファイアウォール規則を作成します。

zabbix active directory

[ポート] オプションを選択します。

zabbix windows firewall port

[TCP] オプションを選択します。

[特定のローカルポート] オプションを選択します。

TCP ポート 636 を入力します。

Windows firewall open port 636

[接続を許可する] オプションを選択します。

zabbix windows firewall allow connection

ドメインオプションを確認します。

[プライベート] オプションをオンにします。

[パブリック] オプションをオンにします。

ファイアウォール規則の説明を入力します。

windows firewall active directory

これで、必要なファイアウォールルールが作成されました。

このルールは、Pfsense がアクティブディレクトリデータベースに対してクエリを実行できるようにします。

チュートリアル RADIUS サーバ - クライアントデバイスの追加

Radius サーバで、次のアプリケーションを開きます。

アクティブディレクトリデータベースで Radius サーバを認証する必要があります。

NPS(ローカル) を右クリックし、アクティブディレクトリにサーバーを登録する] オプションを選択します。

authorize radius server on windows

確認画面で、[OK]ボタンをクリックします。

次に、Radius クライアントを構成する必要があります。

Radius クライアントは、Radius サーバからの認証を要求できるデバイスです。

大事な！ Radius クライアントと Radius ユーザを混同しないでください。

[Radiusクライアント]フォルダを右クリックし、[新規]オプションを選択します。

pfsense radius client

Pfsense ファイアウォールが Radius サーバに接続できるように構成されたクライアントの例を次に示します。

次の構成を設定する必要があります。

• デバイスにわかりやすい名前 - Pfsense に説明を追加する
デバイスの IP アドレス - PFsense ファイアウォールの IP アドレス
•デバイス共有秘密 - 神サム123

共有シークレットは、デバイスが Radius サーバを使用することを承認するために使用されます。

Radius クライアントの構成が完了しました。

チュートリアル RADIUS サーバ - ネットワークポリシーの設定

ここで、認証を許可するネットワークポリティを作成する必要があります。

[ネットワークポリシー] フォルダを右クリックし、[新規] オプションを選択します。

ネットワークポリシーの名前を入力し、[次へ] をクリックします。

nps - network policy name

[条件の追加] ボタンをクリックします。

PFSENSE-ADMIN グループのメンバーに認証を許可します。

pfsense radius user group

[ユーザーグループ] オプションを選択し、[追加] ボタンをクリックします。

nps - user group condition

[グループの追加] ボタンをクリックし、PFSENSE-ADMIN グループを見つけます。

pfsense admin radius group

[アクセス許可] オプションを選択し、[次へ] ボタンをクリックします。

これにより、PFSENSE-ADMIN グループのメンバーが RADIUS サーバーで認証できるようになります。

NPS Access granted

[認証方法] 画面で、[暗号化されていない認証 (PAP、SPAP)] オプションを選択します。

Radius server authentication method

次の警告が表示された場合は、[いいえ]ボタンをクリックします。

NPS Warning message

[半径]設定画面で、[標準半径]属性オプションを選択し、[追加]ボタン

pfsense radius nps configure settings

[クラス] 属性を選択し、[追加] ボタンをクリックします。

pfsense radius nps class

[文字列]オプションを選択し、前に作成したアクティブグループの名前を10名入力します。

この例では、PFSENSE-ADMIN という名前のアクティブディレクトリグループを作成しました。

pfsense active directory radius attribute information

NPS Radius サーバーはクラス情報を PFsense ファイアウォールに渡します。

Pfsense ファイアウォールは、クラス情報を使用して、ユーザーを pfsense-admin グループのメンバーとして設定します。

pfsense-admin グループは、アクティブディレクトリと Pfsense ファイアウォールにも存在する必要があります。

pfsense radius network policy settings nps

[Radiusサーバの設定]の概要を確認し、[完了]ボタンをクリックします。

pfsense active directory authentication summary

おめでとう！ Radius サーバの設定が完了しました。

PFSense - アクティブディレクトリでの PFSense RADIUS 認証

ブラウザソフトウェアを開き、PfsenseファイアウォールのIPアドレスを入力し、Webインターフェイスにアクセスします。

この例では、ブラウザに次の URL が入力されています。

• https://192.168.15.11

Pfsense Web インターフェイスを表示する必要があります。

Pfsense login

プロンプト画面で、Pfsense デフォルトパスワードのログイン情報を入力します。

• Username: admin
• パスワード: pfsense

ログインが成功すると、Pfsense ダッシュボードに送信されます。

Pfsense dashboard

Pfsense システムメニューにアクセスし、ユーザーマネージャーオプションを選択します。

pfsense user manager menu

[ユーザーマネージャ] 画面で、[認証サーバー] タブにアクセスし、[追加] ボタンをクリックします。

pfsense authentication servers

[サーバー設定] 領域で、次の構成を行います。

• 説明名: アクティブディレクトリ
• タイプ: RADIUS

pfsense radius authentication server

RADIUS サーバー設定領域で、次の構成を行います。

• プロトコル - PAP
ホスト名または IP アドレス - 192.168.15.10
• 共有秘密 - Radius クライアント共有秘密 (神神123)
提供されるサービス - 認証と会計
認証ポート - 1812
• アコンティングポート - 1813
• 認証タイムアウト - 5

Radius サーバの IP アドレスを変更する必要があります。

Radius クライアントの共有シークレットを反映するように、共有シークレットを変更する必要があります。

pfsense radius server settings

[保存] ボタンをクリックして、構成を完了します。

この例では、PFSense ファイアウォールで Radius サーバー認証を構成しました。

PFSense の半径 - アクティブディレクトリ認証のテスト

Pfsense 診断メニューにアクセスし、認証オプションを選択します。

pfsense diagnostics authentication

アクティブディレクトリ認証サーバーを選択します。

管理者のユーザー名、そのパスワードを入力し、テストボタンをクリックします。

pfsense ldap authentication test

テストが成功すると、次のメッセージが表示されます。

おめでとう！アクティブディレクトリでの PFsense Radius サーバー認証が正常に構成されました。

PFSense - アクティブディレクトリグループのアクセス許可

Pfsense システムメニューにアクセスし、ユーザーマネージャーオプションを選択します。

pfsense user manager menu

[ユーザーマネージャ]画面で、[グループ]タブにアクセスし、[追加]ボタンをクリックします。

pfsense group manager

[グループの作成] 画面で、次の構成を実行します。

• グループ名 - pfsense-admin
• スコープ - リモート
• 説明 - アクティブディレクトリグループ

保存ボタンをクリックすると、グループ構成画面に戻ります。

pfsense group creation

pfsense-admin グループの権限を編集する必要があります。

pfsense-admin グループのプロパティで、[割り当てられた権限]領域を見つけて、[追加]ボタンをクリックします。

[グループ特権] 領域で、次の構成を実行します。

• 割り当てられた特権 - WebCfg - すべてのページ

pfsense active directory group permission

[保存] ボタンをクリックして、構成を完了します。

PFSense - アクティブディレクトリ認証を有効にする

Pfsense システムメニューにアクセスし、ユーザーマネージャーオプションを選択します。

pfsense user manager menu

[ユーザーマネージャ] 画面で、[設定] タブにアクセスします。

pfsense authentication settings menu

[設定] 画面で、Active ディレクトリ認証サーバーを選択します。

[保存してテスト] ボタンをクリックします。

pfsense active directory authentication settings

設定が完了したら、Pfsense Web インターフェイスからログオフする必要があります。

管理者ユーザーと、Active Directory データベースのパスワードを使用してログインを試みます。

ログイン画面で、管理者ユーザーと Active Directory データベースのパスワードを使用します。

• Username: admin
• パスワード: アクティブディレクトリパスワードを入力します。

Pfsense login

おめでとう！アクティブディレクトリデータベースを使用するように PFSense 認証を構成しました。

VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22021-09-19T13:09:10-03:00

Related Posts

Pfsense - 複数 Wan リンクのロードバランシング

Pfsense - 複数 Wan リンクのロードバランシング

2月 14th, 2020

Pfsense - 複数 Wan リンクのフェールオーバー構成

Pfsense - 複数 Wan リンクのフェールオーバー構成

2月 14th, 2020

Pfsense - NTP サーバ設定

Pfsense - NTP サーバ設定

2月 14th, 2020

PFsense - アウトバウンドプロキシの設定

PFsense - アウトバウンドプロキシの設定

2月 14th, 2020

Pfsense - DHCP リレーの構成

Pfsense - DHCP リレーの構成

2月 14th, 2020

Pfsense - Web インターフェイス言語の変更

Pfsense - Web インターフェイス言語の変更

2月 14th, 2020

PFSense - SSL 経由の LDAP を使用したアクティブディレクトリ認証

PFSense - SSL 経由の LDAP を使用したアクティブディレクトリ認証

2月 13th, 2020

PFsenseのイカのインストール

PFsenseのイカのインストール

2月 13th, 2020

Pfsense - トラフィックシェーパーの構成

Pfsense - トラフィックシェーパーの構成

2月 13th, 2020

Pfsense - DHCP サーバーの構成

Pfsense - DHCP サーバーの構成

2月 13th, 2020

Pfsense - リモート Syslog 設定

Pfsense - リモート Syslog 設定

2月 13th, 2020

PFSense - VLAN 設定

PFSense - VLAN 設定

2月 13th, 2020

Pfsense - リンクアグリゲーションの設定

Pfsense - リンクアグリゲーションの設定

2月 13th, 2020

プフセンスのスノートインストール

プフセンスのスノートインストール

2月 13th, 2020

PFSense - フリーラディオンを使用した RADIUS 認証

PFSense - フリーラディオンを使用した RADIUS 認証

2月 13th, 2020