Radius를 사용하여 PFsense Active 디렉터리 인증을 구성하는 방법을 알아보시겠습니까? 이 자습서에서는 Radius 프로토콜을 사용하여 Active Directory 데이터베이스에서 PFSense 사용자를 인증하는 방법을 보여 드리겠습니다.

• Pfsense 2.4.4-p3
• Windows 2012 R2

튜토리얼 - Windows의 반경 서버 설치

• IP - 192.168.15.10.
• 오페라 시스템 - 윈도우 2012 R2
• Hostname - TECH-DC01
• 활성 디렉토리 도메인: TECH.LOCAL

서버 관리자 응용 프로그램을 엽니다.

관리 메뉴에 액세스하고 역할 및 기능 추가를 클릭합니다.

서버 역할 화면에 액세스하고 네트워크 정책 및 서비스 액세스 옵션을 선택합니다.

다음 버튼을 클릭합니다.

Network Policy and Access Service

다음 화면에서 기능 추가 단추를 클릭합니다.

network policy features

역할 서비스 화면에서 다음 단추를 클릭합니다.

network policy server

다음 화면에서 설치 버튼을 클릭합니다.

radius server installation on windows

Windows 2012에서 반경 서버 설치를 완료했습니다.

튜토리얼 반경 서버 - 활성 디렉터리 통합

다음으로 Active 디렉터리 데이터베이스에 1개 이상의 계정을 만들어야 합니다.

ADMIN 계정은 Pfsense 웹 인터페이스에 로그인하는 데 사용됩니다.

도메인 컨트롤러에서 활성 디렉터리 사용자 및 컴퓨터라는 응용 프로그램을 엽니다.

사용자 컨테이너 내에서 새 계정을 만듭니다.

새 계정 만들기: 관리자

ADMIN 사용자에게 구성된 암호: 123qwe..

이 계정은 Pfsense 웹 인터페이스에서 관리자로 인증하는 데 사용됩니다.

active directory admin account

축하합니다, 당신은 필요한 Active Directory 계정을 만들었습니다.

다음으로 Active 디렉터리 데이터베이스에 1개 이상의 그룹을 만들어야 합니다.

도메인 컨트롤러에서 활성 디렉터리 사용자 및 컴퓨터라는 응용 프로그램을 엽니다.

사용자 컨테이너 내부에 새 그룹을 만듭니다.

Radius Active directory group

pfsense-admin이라는 새 그룹 만들기

이 그룹의 구성원은 PFsense 웹 인터페이스에 대한 관리자 권한을 갖습니다.

pfsense active directory group

중요! 관리자 사용자를 pfsense-admin 그룹의 구성원으로 추가합니다.

pfsense active directory admin group

축하합니다, 당신은 필요한 활성 디렉토리 그룹을 만들었습니다.

튜토리얼 - 윈도우 도메인 컨트롤러 방화벽

Windows 도메인 컨트롤러에서 방화벽 규칙을 만들어야 합니다.

이 방화벽 규칙을 사용하면 Pfsense 서버가 Active 디렉터리 데이터베이스를 쿼리할 수 있습니다.

도메인 컨트롤러에서 고급 보안을 갖춘 Windows 방화벽이라는 응용 프로그램을 엽니다.

새 인바운드 방화벽 규칙을 만듭니다.

포트 옵션을 선택합니다.

TCP 옵션을 선택합니다.

특정 로컬 포트 옵션을 선택합니다.

TCP 포트 636을 입력합니다.

Windows firewall open port 636

연결 허용 옵션을 선택합니다.

도메인 옵션을 확인합니다.

개인 옵션을 선택합니다.

공용 옵션을 확인합니다.

방화벽 규칙에 대한 설명을 입력합니다.

windows firewall active directory

축하합니다, 당신은 필요한 방화벽 규칙을 만들었습니다.

이 규칙을 사용하면 Pfsense가 Active 디렉터리 데이터베이스를 쿼리할 수 있습니다.

튜토리얼 반경 서버 - 클라이언트 장치 추가

Radius 서버에서 네트워크 정책 서버라는 응용 프로그램을 엽니다.

Active 디렉터리 데이터베이스에서 Radius 서버에 권한을 부여해야 합니다.

NPS(LOCAL)를 마우스 오른쪽 단추로 클릭하고 Active Directory에서 서버 등록 옵션을 선택합니다.

authorize radius server on windows

확인 화면에서 확인 버튼을 클릭합니다.

그런 다음 Radius 클라이언트를 구성해야 합니다.

Radius 클라이언트는 Radius 서버에서 인증을 요청할 수 있는 장치입니다.

중요! 반경 클라이언트와 반지름 사용자를 혼동하지 마십시오.

반경 클라이언트 폴더를 마우스 오른쪽 단추로 클릭하고 새 옵션을 선택합니다.

pfsense radius client

다음은 Pfsense 방화벽이 Radius 서버에 연결할 수 있도록 구성된 클라이언트의 예입니다.

다음 구성을 설정해야 합니다.

• 장치에 친숙한 이름 - Pfsense에 설명을 추가합니다.
• 장치 IP 주소 - PFsense 방화벽의 IP 주소
• 장치 공유 비밀 - kamisama123

공유 비밀은 장치가 Radius 서버를 사용하도록 권한을 부여하는 데 사용됩니다.

Radius 클라이언트 구성을 완료했습니다.

자습서 반경 서버 - 네트워크 정책 구성

이제 인증을 허용하려면 네트워크 Polity를 만들어야 합니다.

네트워크 정책 폴더를 마우스 오른쪽 단추로 클릭하고 새 옵션을 선택합니다.

네트워크 정책에 이름을 입력하고 다음 단추를 클릭합니다.

nps - network policy name

조건 추가 버튼을 클릭합니다.

PFSENSE-ADMIN 그룹의 구성원이 인증할 수 있도록 허용할 것입니다.

pfsense radius user group

사용자 그룹 옵션을 선택하고 추가 단추를 클릭합니다.

nps - user group condition

그룹 추가 단추를 클릭하고 PFSENSE-ADMIN 그룹을 찾습니다.

pfsense admin radius group

권한 부여된 액세스 옵션을 선택하고 다음 단추를 클릭합니다.

이렇게 하면 PFSENSE-ADMIN 그룹의 구성원이 반경 서버에서 인증할 수 있습니다.

NPS Access granted

인증 방법 화면에서 암호화되지 않은 인증(PAP, SPAP) 옵션을 선택합니다.

Radius server authentication method

다음 경고가 표시되면 없음 단추를 클릭합니다.

NPS Warning message

반경 구성 화면에서 표준 반지름 특성 옵션을 선택하고 추가 단추를 클릭합니다.

pfsense radius nps configure settings

클래스 특성을 선택하고 추가 단추를 클릭합니다.

pfsense radius nps class

문자열 옵션을 선택하고 이전에 만든 활성 그룹의 이름 10개에 입력합니다.

이 예제에서는 PFSENSE-ADMIN이라는 활성 디렉터리 그룹을 만들었습니다.

pfsense active directory radius attribute information

NPS Radius 서버는 클래스 정보를 PFsense 방화벽으로 다시 전달합니다.

Pfsense 방화벽은 클래스 정보를 사용하여 사용자를 pfsense 관리자 그룹의 구성원으로 설정합니다.

pfsense-admin 그룹은 활성 디렉터리및 Pfsense 방화벽에도 있어야 합니다.

pfsense radius network policy settings nps

반경 서버 구성 요약을 확인하고 완료 버튼을 클릭합니다.

pfsense active directory authentication summary

축! Radius 서버 구성을 완료했습니다.

PFSense - 활성 디렉토리에서 PFSense 반경 인증

브라우저 소프트웨어를 열고 Pfsense 방화벽의 IP 주소를 입력하고 웹 인터페이스에 액세스합니다.

이 예제에서는 브라우저에 다음 URL을 입력했습니다.

• https://192.168.15.11

Pfsense 웹 인터페이스를 제시해야 합니다.

Pfsense login

프롬프트 화면에서 Pfsense 기본 암호 로그인 정보를 입력합니다.

• Username: admin
• 암호 : pfsense

성공적인 로그인 후, 당신은 Pfsense 대시 보드로 전송됩니다.

Pfsense dashboard

Pfsense 시스템 메뉴에 액세스하고 사용자 관리자 옵션을 선택합니다.

pfsense user manager menu

사용자 관리자 화면에서 인증 서버 탭에 액세스하고 추가 단추를 클릭합니다.

pfsense authentication servers

서버 설정 영역에서 다음 구성을 수행합니다.

• 설명 이름: ACTIVE 디렉토리
• 유형: 반경

pfsense radius authentication server

RADIUS 서버 설정 영역에서 다음 구성을 수행합니다.

• 프로토콜 - PAP
• 호스트 이름 또는 IP 주소 - 192.168.15.10
• 공유 비밀 - 반경 클라이언트 공유 비밀 (kamisama123)
• 서비스 제공 - 인증 및 회계
• 인증 포트 - 1812
• 아고팅 포트 - 1813
• 인증 시간 시간 - 5

Radius 서버의 IP 주소를 변경해야 합니다.

Radius 클라이언트 공유 비밀을 반영하도록 공유 비밀을 변경해야 합니다.

pfsense radius server settings

저장 버튼을 클릭하여 구성을 완료합니다.

이 예제에서는 PFSense 방화벽에서 Radius 서버 인증을 구성했습니다.

PFSense 반경 - 활성 디렉터리 인증 테스트

Pfsense 진단 메뉴에 액세스하고 인증 옵션을 선택합니다.

pfsense diagnostics authentication

Active 디렉터리 인증 서버를 선택합니다.

관리자 사용자 이름, 암호를 입력하고 테스트 버튼을 클릭합니다.

pfsense ldap authentication test

테스트가 성공하면 다음 메시지가 표시됩니다.

pfsense active directory login test

축! Active Directory의 PFsense Radius 서버 인증이 성공적으로 구성되었습니다.

PFSense - 활성 디렉토리 그룹 권한

Pfsense 시스템 메뉴에 액세스하고 사용자 관리자 옵션을 선택합니다.

pfsense user manager menu

사용자 관리자 화면에서 그룹 탭에 액세스하고 추가 단추를 클릭합니다.

pfsense group manager

그룹 만들기 화면에서 다음 구성을 수행합니다.

• 그룹 이름 - pfsense-관리자
• 범위 - 원격
• 설명 - 활성 디렉토리 그룹

저장 버튼을 클릭하면 그룹 구성 화면으로 다시 전송됩니다.

pfsense group creation

이제 pfsense-admin 그룹의 권한을 편집해야 합니다.

pfsense-admin 그룹 속성에서 할당된 권한 영역을 찾아 추가 단추를 클릭합니다.

그룹 권한 영역에서 다음 구성을 수행합니다.

• 할당된 권한 - WebCfg - 모든 페이지

pfsense active directory group permission

저장 버튼을 클릭하여 구성을 완료합니다.

PFSense - 활성 디렉터리 인증 사용

Pfsense 시스템 메뉴에 액세스하고 사용자 관리자 옵션을 선택합니다.

pfsense user manager menu

사용자 관리자 화면에서 설정 탭에 액세스합니다.

pfsense authentication settings menu

설정 화면에서 Active 디렉터리 인증 서버를 선택합니다.

저장 및 테스트 버튼을 클릭합니다.

pfsense active directory authentication settings

구성을 완료한 후 Pfsense 웹 인터페이스를 로그오프해야 합니다.

Active Directory 데이터베이스의 관리자 사용자와 암호를 사용하여 로그인해 봅을 사용해 보십시오.

로그인 화면에서 Active Directory 데이터베이스의 관리자 사용자와 암호를 사용합니다.

• Username: admin
• 암호: Active 디렉터리 암호를 입력합니다.

Pfsense login

축! ACTIVE Directory 데이터베이스를 사용하도록 PFSense 인증을 구성했습니다.