チュートリアル PFSense - SSL 経由の LDAP を使用したアクティブディレクトリ認証

SSL 経由の LDAP を使用して PFsense アクティブディレクトリ認証を構成する方法を学習しますか? このチュートリアルでは、暗号化された接続の LDAPS プロトコルを使用して、アクティブディレクトリデータベース上の PFSense ユーザーを認証する方法を示します。

• Pfsense 2.4.4-p3
• Windows 2012 R2

PFsense 関連チュートリアル:

このページでは、pfSense に関連するチュートリアルのリストにすばやくアクセスできます。

チュートリアル - Windows でのアクティブディレクトリのインストール

IP - 192.168.15.10。
• オペラシステム - Windows 2012 R2
• Hostname - TECH-DC01
• アクティブディレクトリドメイン: TECH.LOCAL

既に Active Directory ドメインを使用している場合は、チュートリアルのこの部分をスキップできます。

サーバーマネージャーアプリケーションを開きます。

[管理] メニューにアクセスし、[ロールと機能の追加] をクリックします。

[サーバーの役割] 画面にアクセスし、Active Directory ドメインサービスを選択して [次へ] ボタンをクリックします。

次の画面で、[機能の追加] ボタンをクリックします。

最後の画面に到達するまで[次へ]ボタンをクリックし続けます。

確認画面で、[インストール]ボタンをクリックします。

active directory installation confirmation

Active ディレクトリのインストールが完了するまで待ちます。

サーバーマネージャーアプリケーションを開きます。

黄色のフラグメニューをクリックし、このサーバーをドメインコントローラに昇格させるオプションを選択します。

[新しいフォレストを追加する] オプションを選択し、ルートドメイン名を入力します。

この例では、TECH という名前の新しいドメインを作成しました。地元の。

アクティブディレクトリの復元を保護するためのパスワードを入力してください。

[DNS オプション] 画面で、[次へ] ボタンをクリックします。

ドメインに割り当てられている Netbios 名を確認し、[次へ] ボタンをクリックします。

[次へ]ボタンをクリックします。

設定オプションを確認し、[次へ]ボタンをクリックします。

[前提条件の確認] 画面で、[インストール] ボタンをクリックします。

アクティブディレクトリ構成が完了するまで待ちます。

Active ディレクトリのインストールが完了すると、コンピュータは自動的に再起動します。

Windows サーバーでのアクティブディレクトリの構成が完了しました。

PFSense - SSL 通信を使用した LDAP のテスト

ドメインコントローラがポート 636 で SSL 経由の LDAP サービスを提供しているかどうかをテストする必要があります。

ドメインコントローラで、[スタート] メニューにアクセスし、LDP アプリケーションを検索します。

まず、ドメインコントローラがポート 389 で LDAP サービスを提供しているかどうかをテストします。

[接続]メニューにアクセスし、[接続]オプションを選択します。

TCP ポート 389 を使用してローカルホストに接続してみます。

ローカルホストポート 389 で LDAP サービスに接続できるはずです。

ここで、ドメインコントローラがポート 636 で SSL 経由の LDAP サービスを提供しているかどうかをテストする必要があります。

新しい LDP アプリケーションウィンドウを開き、TCP ポート 636 を使用してローカルホストに接続してみます。

[SSL] チェックボックスをオンにして、[OK] ボタンをクリックします。

システムでエラーメッセージが表示される場合、ドメインコントローラはまだLDAPSサービスを提供していません。

これを解決するために、このチュートリアルの次の部分に Windows 証明機関をインストールします。

SSL 暗号化を使用してポート 636 の localhost に正常に接続できた場合は、このチュートリアルの次の部分をスキップできます。

チュートリアル - Windows への証明機関のインストール

Windows 証明機関サービスをインストールする必要があります。

ローカル証明機関は、LDAPS サービスが TCP ポート 636 で動作することを許可する証明書をドメインコントローラに提供します。

サーバーマネージャーアプリケーションを開きます。

[管理] メニューにアクセスし、[ロールと機能の追加] をクリックします。

[サーバーの役割] 画面にアクセスし、[Active Directory 証明書サービス] を選択して [次へ] ボタンをクリックします。

windows certification authority installation

次の画面で、[機能の追加] ボタンをクリックします。

役割サービス画面が表示されるまで、[次へ] ボタンをクリックし続けます。

[証明機関] という名前のオプションを有効にし、[次へ] をクリックします。

Windows server 2012 Certification authority install

確認画面で、[インストール]ボタンをクリックします。

証明機関のインストールが完了するまで待ちます。

Windows 2012 R2 certification authority installation

サーバーマネージャーアプリケーションを開きます。

黄色のフラグメニューをクリックし、オプションを選択します。

資格情報画面で、[次へ] ボタンをクリックします。

[証明機関] オプションを選択し、[次へ] ボタンをクリックします。

Windows certification authority role service

[エンタープライズ CA] オプションを選択し、[次へ] をクリックします。

[新しい秘密キーを作成する] オプションを選択し、[次へ] ボタンをクリックします。

デフォルトの暗号化構成を維持し、[次へ] ボタンをクリックします。

共通名を証明機関に設定し、[次へ] をクリックします。

この例では、共通名を設定します。

Windows 証明機関の有効期間を設定します。

既定の Windows 証明機関データベースの場所を保持します。

概要を確認し、[構成] ボタンをクリックします。

Windows サーバー証明機関のインストールが完了するまで待ちます。

証明機関のインストールが完了したら、コンピュータを再起動します。

Windows 証明機関のインストールが完了しました。

PFSense - SSL 通信を使用した LDAP の再テスト

ドメインコントローラがポート 636 で SSL 経由の LDAP サービスを提供しているかどうかをテストする必要があります。

証明機関のインストールが完了したら、5 分間待ってから、ドメインコントローラーを再起動します。

起動時に、ドメインコントローラはローカル証明機関にサーバー証明書を自動的に要求します。

サーバー証明書を取得すると、ドメインコントローラは 636 ポートで SSL 経由で LDAP サービスの提供を開始します。

ドメインコントローラで、[スタート] メニューにアクセスし、LDP アプリケーションを検索します。

[接続]メニューにアクセスし、[接続]オプションを選択します。

TCP ポート 636 を使用してローカルホストに接続してみます。

[SSL] チェックボックスをオンにして、[OK] ボタンをクリックします。

TCP ポート 636 を使用してローカルホストに接続してみます。

[SSL] チェックボックスをオンにして、[OK] ボタンをクリックします。

今回は、ローカルホストポート636でLDAPサービスに接続できるはずです。

ポート 636 に接続できない場合は、コンピュータを再起動し、さらに 5 分間待ちます。

ドメインコントローラが証明機関から要求された証明書を受け取るまでに、しばらく時間がかかる場合があります。

チュートリアル - Windows ドメインコントローラファイアウォール

Windows ドメインコントローラにファイアウォールルールを作成する必要があります。

このファイアウォールルールにより、Pfsense サーバーは Active ディレクトリデータベースに対してクエリを実行できます。

ドメインコントローラで、セキュリティが強化された Windows ファイアウォールという名前のアプリケーションを開きます。

新しい受信ファイアウォール規則を作成します。

[ポート] オプションを選択します。

[TCP] オプションを選択します。

[特定のローカルポート] オプションを選択します。

TCP ポート 636 を入力します。

[接続を許可する] オプションを選択します。

zabbix windows firewall allow connection

ドメインオプションを確認します。

[プライベート] オプションをオンにします。

[パブリック] オプションをオンにします。

ファイアウォール規則の説明を入力します。

これで、必要なファイアウォールルールが作成されました。

このルールは、Pfsense がアクティブディレクトリデータベースに対してクエリを実行できるようにします。

チュートリアル - PFSense LDAPS 通信の準備

PFsense コンソール・メニューにアクセスし、オプション番号 8 を選択してコマンド行にアクセスします。

次のコマンドを使用して、LDAPS 通信をテストします。

ドメインコントローラ証明書のコピーを取得しようとします。

Copy to Clipboard

上記の IP アドレスをドメインコントローラーに変更する必要があります。

システムには、ドメインコントローラ証明書のコピーが表示されます。

Copy to Clipboard

CONNECTED(00000003)
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = TECH-DC01.TECH.LOCAL
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=TECH-DC01.TECH.LOCAL
   i:/DC=LOCAL/DC=TECH/CN=TECH-CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/CN=TECH-DC01.TECH.LOCAL
issuer=/DC=LOCAL/DC=TECH/CN=TECH-CA
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RS                                                                                                                     A+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SH                                                                                                                     A384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2063 bytes and written 501 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: EC1A0000F6130E13A35CAD47078B692A7CE1EA5759905A7C6EBE25B55984FE17
    Session-ID-ctx:
    Master-Key: 53D98FEB36F897F4B2143962CF9018E69C5E67A026597B2C5DED9C8D05BF27D1                                                                                                                     265505CDC8B8EFC7F1EFE974EFCF9ECB
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1569986693
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)

PFsense ファイアウォールは、DNS 名を使用してドメインコントローラと通信できる必要があります。 (FQDN)

Pfsense は、ドメインコントローラを DNS サーバーとして使用して、TECH-DC01 を変換できる場合があります。技術。IP アドレス 192.168.15.10 へのローカル。

PING コマンドを使用して、PFsense ファイアウォールがホスト名を IP アドレスに変換できるかどうかを確認します。

Copy to Clipboard

この例では、Pfsense ファイアウォールは TECH-DC01 を変換することができました。技術。192.168.15.10 へのローカル・ホスト名。

チュートリアル - Windows ドメインアカウントの作成

次に、Active ディレクトリデータベースに少なくとも 2 つのアカウントを作成する必要があります。

ADMIN アカウントは、Pfsense Web インターフェイスでログインするために使用されます。

BIND アカウントは、アクティブディレクトリデータベースのクエリに使用されます。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいアカウントを作成します。

admin という名前の新しいアカウントを作成します。

ADMIN ユーザーに設定されたパスワード: 123qwe..

このアカウントは、Pfsense Web インターフェイスで管理者として認証するために使用されます。

zabbix active directory admin properties

次の名前の新しいアカウントを作成します。

BIND ユーザーに構成されたパスワード: 123qwe.。

このアカウントは、Active Directory データベースに保存されているパスワードのクエリに使用されます。

zabbix active directory ldap bind properties

これで、必要なアクティブディレクトリアカウントが作成されました。

チュートリアル - Windows ドメイングループの作成

次に、Active ディレクトリデータベースに少なくとも 1 つのグループを作成する必要があります。

ドメインコントローラーで、次の名前のアプリケーションを開きます: Active Directory ユーザーとコンピューター

Users コンテナ内に新しいグループを作成します。

pfsense-admin という名前の新しいグループを作成します。

このグループのメンバーは、PFsense Web インターフェイスの管理者権限を持ちます。

大事な！ pfsense-admin グループのメンバーとして、管理者ユーザーを追加します。

これで、必要なアクティブディレクトリグループが作成されました。

PFSense - アクティブディレクトリでの PFSense LDAPS 認証

ブラウザソフトウェアを開き、PfsenseファイアウォールのIPアドレスを入力し、Webインターフェイスにアクセスします。

この例では、ブラウザに次の URL が入力されています。

• https://192.168.15.11

Pfsense Web インターフェイスを表示する必要があります。

プロンプト画面で、Pfsense デフォルトパスワードのログイン情報を入力します。

• Username: admin
• パスワード: pfsense

ログインが成功すると、Pfsense ダッシュボードに送信されます。

Pfsense システムメニューにアクセスし、ユーザーマネージャーオプションを選択します。

[ユーザーマネージャ] 画面で、[認証サーバー] タブにアクセスし、[追加] ボタンをクリックします。

[サーバー設定] 領域で、次の構成を行います。

• 説明名: アクティブディレクトリ
• タイプ: LDAP

Pfsense active directory server settings

[LDAP サーバ設定] 領域で、次の構成を実行します。

• ホスト名または IP アドレス - TECH-DC01。技術。地元の
• ポート値 - 636
• トランスポート - SSL - 暗号化
• プロトコルバージョン - 3
• サーバタイムアウト - 25
• 検索範囲 - サブツリー全体
• ベース DN - dc=技術、dc=ローカル
• 認証コンテナ - CN =ユーザー、DC=技術、DC=ローカル
• 拡張クエリ - 無効
• バインド匿名 - 無効
• 資格情報をバインドする - CN =バインド、CN=ユーザー、DC=技術、DC=ローカル
• 資格情報のバインドパスワード - BIND ユーザーアカウントのパスワード
• 初期テンプレート - マイクロソフト AD
• ユーザー名前属性 - サムアカウント名
• グループ命名属性 - cn
• グループメンバー属性 - メンバーの
RFC 2307 グループ - 無効
• グループオブジェクトクラス - posixGroup
• UTF8 エンコード - 無効
• ユーザー名の変更 - 無効

TECH-DC01 を変更する必要があります。技術。ローカルからドメインコントローラのホスト名を指定します。

ネットワーク環境を反映するようにドメイン情報を変更する必要があります。

ネットワーク環境を反映するようにバインド資格情報を変更する必要があります。

pfsense server authentication ldap setup

[保存] ボタンをクリックして、構成を完了します。

この例では、PFSense firewal で Ldap サーバー認証を構成しました。

PFSense - アクティブディレクトリ認証のテスト

Pfsense 診断メニューにアクセスし、認証オプションを選択します。

アクティブディレクトリ認証サーバーを選択します。

管理者のユーザー名、そのパスワードを入力し、テストボタンをクリックします。

テストが成功すると、次のメッセージが表示されます。

おめでとう！アクティブディレクトリでの PFsense LDAPS サーバー認証が正しく構成されました。

PFSense - アクティブディレクトリグループのアクセス許可

Pfsense システムメニューにアクセスし、ユーザーマネージャーオプションを選択します。

[ユーザーマネージャ]画面で、[グループ]タブにアクセスし、[追加]ボタンをクリックします。

[グループの作成] 画面で、次の構成を実行します。

• グループ名 - pfsense-admin
• スコープ - リモート
• 説明 - アクティブディレクトリグループ

保存ボタンをクリックすると、グループ構成画面に戻ります。

pfsense-admin グループの権限を編集する必要があります。

pfsense-admin グループのプロパティで、[割り当てられた権限]領域を見つけて、[追加]ボタンをクリックします。

[グループ特権] 領域で、次の構成を実行します。

• 割り当てられた特権 - WebCfg - すべてのページ

pfsense active directory group permission

[保存] ボタンをクリックして、構成を完了します。

PFSense - アクティブディレクトリ認証を有効にする

Pfsense システムメニューにアクセスし、ユーザーマネージャーオプションを選択します。

[ユーザーマネージャ] 画面で、[設定] タブにアクセスします。

[設定] 画面で、Active ディレクトリ認証サーバーを選択します。

[保存してテスト] ボタンをクリックします。

pfsense active directory authentication settings

設定が完了したら、Pfsense Web インターフェイスからログオフする必要があります。

管理者ユーザーと、Active Directory データベースのパスワードを使用してログインを試みます。

ログイン画面で、管理者ユーザーと Active Directory データベースのパスワードを使用します。

• Username: admin
• パスワード: アクティブディレクトリパスワードを入力します。

おめでとう！アクティブディレクトリデータベースを使用するように PFSense 認証を構成しました。

PFSense - SSL 経由の LDAP を使用したアクティブ ディレクトリ認証

PFSense - SSL 経由の LDAP を使用したアクティブ ディレクトリ認証

PFsense 関連チュートリアル:

チュートリアル - Windows でのアクティブ ディレクトリ のインストール

PFSense - SSL 通信を使用した LDAP のテスト

チュートリアル - Windows への証明機関のインストール

PFSense - SSL 通信を使用した LDAP の再テスト

チュートリアル - Windows ドメイン コントローラ ファイアウォール

チュートリアル - PFSense LDAPS 通信の準備

チュートリアル - Windows ドメイン アカウントの作成

チュートリアル - Windows ドメイン グループの作成

PFSense - アクティブ ディレクトリでの PFSense LDAPS 認証

PFSense - アクティブ ディレクトリ認証のテスト

PFSense - アクティブ ディレクトリ グループのアクセス許可

PFSense - アクティブ ディレクトリ認証を有効にする

Related Posts

PFSense - SSL 経由の LDAP を使用したアクティブディレクトリ認証

PFSense - SSL 経由の LDAP を使用したアクティブディレクトリ認証

チュートリアル - Windows でのアクティブディレクトリのインストール

チュートリアル - Windows ドメインコントローラファイアウォール

チュートリアル - Windows ドメインアカウントの作成

チュートリアル - Windows ドメイングループの作成

PFSense - アクティブディレクトリでの PFSense LDAPS 認証

PFSense - アクティブディレクトリ認証のテスト

PFSense - アクティブディレクトリグループのアクセス許可

PFSense - アクティブディレクトリ認証を有効にする