SSL을 통해 LDAP를 사용하여 PFsense Active 디렉터리 인증을 구성하는 방법을 알아보시겠습니까? 이 자습서에서는 암호화된 연결에 대 한 LDAPS 프로토콜을 사용 하 여 Active Directory 데이터베이스에 PFSense 사용자를 인증 하는 방법을 보여 드리겠습니다.

• Pfsense 2.4.4-p3
• Windows 2012 R2

튜토리얼 - Windows에서 활성 디렉토리 설치

• IP - 192.168.15.10.
• 오페라 시스템 - 윈도우 2012 R2
• Hostname - TECH-DC01
• 활성 디렉토리 도메인: TECH.LOCAL

Active Directory 도메인이 이미 있는 경우 자습서의 이 부분을 건너뛸 수 있습니다.

서버 관리자 응용 프로그램을 엽니다.

관리 메뉴에 액세스하고 역할 및 기능 추가를 클릭합니다.

서버 역할 화면에 액세스하고 Active Directory 도메인 서비스를 선택하고 다음 단추를 클릭합니다.

active directory installation

다음 화면에서 기능 추가 단추를 클릭합니다.

active directory windows installation

마지막 화면에 도달할 때까지 다음 버튼을 계속 클릭합니다.

windows install active directory

확인 화면에서 설치 버튼을 클릭합니다.

active directory installation confirmation

Active 디렉터리 설치가 완료될 때까지 기다립니다.

active directory installation windows

서버 관리자 응용 프로그램을 엽니다.

노란색 플래그 메뉴를 클릭하고 이 서버를 도메인 컨트롤러로 승격하는 옵션을 선택합니다.

active directory configuration

새 포리스트 추가 옵션을 선택하고 루트 도메인 이름을 입력합니다.

이 예제에서는 TECH라는 새 도메인을 만들었습니다. 로컬.

deployment active directory

Active Directory 복원을 보호하기 위해 암호를 입력합니다.

domain controller options

DNS 옵션 화면에서 다음 버튼을 클릭합니다.

active directory dns options

도메인에 할당된 Netbios 이름을 확인하고 다음 단추를 클릭합니다.

ad netbios name

다음 버튼을 클릭합니다.

active directory paths

구성 옵션을 검토하고 다음 단추를 클릭합니다.

active directory summary

필수 구성 조건 확인 화면에서 설치 버튼을 클릭합니다.

active directory prerequisites check

Active Directory 구성이 완료될 때까지 기다립니다.

active directory installation wizard

Active 디렉터리 설치를 완료하면 컴퓨터가 자동으로 다시 시작됩니다.

Windows 서버에서 Active 디렉터리 구성을 완료했습니다.

PFSense - SSL 통신을 통해 LDAP 테스트

도메인 컨트롤러가 포트 636에서 SSL 서비스를 통해 LDAP를 제공하는지 테스트해야 합니다.

도메인 컨트롤러에서 시작 메뉴에 액세스하고 LDP 응용 프로그램을 검색합니다.

Windows 2012 desktop

먼저 도메인 컨트롤러가 포트 389에서 LDAP 서비스를 제공하는지 테스트해 보겠습니다.

연결 메뉴에 액세스하고 연결 옵션을 선택합니다.

Windows LDP application

TCP 포트 389를 사용하여 로컬 호스트에 연결해 보십시오.

Windows ldp ldap connection

로컬 호스트 포트 389에서 LDAP 서비스에 연결할 수 있어야 합니다.

Windows ldap connection Ok

이제 도메인 컨트롤러가 포트 636에서 SSL 서비스를 통해 LDAP를 제공하는지 테스트해야 합니다.

새 LDP 응용 프로그램 창을 열고 TCP 포트 636을 사용하여 로컬 호스트에 연결하려고 합니다.

SSL 확인란을 선택하고 확인 버튼을 클릭합니다.

Windows ldp ssl connection

시스템에 오류 메시지가 표시되면 도메인 컨트롤러가 아직 LDAPS 서비스를 제공하지 않습니다.

이 문제를 해결 하려면이 자습서의 다음 부분에 Windows 인증 기관을 설치 하려고 합니다.

ldp error 636 warning

SSL 암호화를 사용하여 포트 636의 localhost에 성공적으로 연결할 수 있는 경우 이 자습서의 다음 부분을 건너뛸 수 있습니다.

튜토리얼 - Windows에 인증 기관 설치

Windows 인증 기관 서비스를 설치해야 합니다.

로컬 인증 기관은 도메인 컨트롤러에 LDAPS 서비스가 TCP 포트 636에서 작동할 수 있는 인증서를 제공합니다.

서버 관리자 응용 프로그램을 엽니다.

관리 메뉴에 액세스하고 역할 및 기능 추가를 클릭합니다.

서버 역할 화면에 액세스하고 Active Directory 인증서 서비스를 선택하고 다음 단추를 클릭합니다.

windows certification authority installation

다음 화면에서 기능 추가 단추를 클릭합니다.

active directory certificate service

역할 서비스 화면에 도달할 때까지 다음 단추를 계속 클릭합니다.

인증 기관이라는 옵션을 활성화하고 다음 단추를 클릭합니다.

Windows server 2012 Certification authority install

확인 화면에서 설치 버튼을 클릭합니다.

Windows ca confirmation screen

인증 기관 설치가 완료될 때까지 기다립니다.

Windows 2012 R2 certification authority installation

서버 관리자 응용 프로그램을 엽니다.

노란색 플래그 메뉴를 클릭하고 옵션을 선택합니다: 활성 디렉터리 인증서 서비스 구성

certification authority post deployment

자격 증명 화면에서 다음 단추를 클릭합니다.

인증 기관 옵션을 선택하고 다음 단추를 클릭합니다.

Windows certification authority role service

엔터프라이즈 CA 옵션을 선택하고 다음 단추를 클릭합니다.

windows enterprise ca

새 개인 키 만들기 옵션을 선택하고 다음 단추를 클릭합니다.

windows ca new private key

기본 암호화 구성을 유지하고 다음 단추를 클릭합니다.

windows cryptography for ca

인증 기관에 공통 이름을 설정하고 다음 단추를 클릭합니다.

이 예제에서는 일반적인 이름을 설정합니다.

Windows CA name configuration

Windows 인증 기관의 유효 기간을 설정합니다.

Windows CA validity period

기본 Windows 인증 기관 데이터베이스 위치를 유지합니다.

windows certificate database

요약을 확인하고 구성 단추를 클릭합니다.

Windows Ca installation summary

Windows 서버 인증 기관 설치가 완료될 때까지 기다립니다.

Windows cs authority results

인증 기관 설치를 완료한 후 컴퓨터를 재부팅합니다.

Windows 인증 기관 설치를 완료했습니다.

PFSense - SSL 통신을 통해 LDAP를 다시 테스트

도메인 컨트롤러가 포트 636에서 SSL 서비스를 통해 LDAP를 제공하는지 테스트해야 합니다.

인증 기관 설치를 완료한 후 5분 간 기다렸다가 도메인 컨트롤러를 다시 시작합니다.

부팅 시간 동안 도메인 컨트롤러는 로컬 인증 기관에서 서버 인증서를 자동으로 요청합니다.

서버 인증서를 받은 후 도메인 컨트롤러는 636 포트에서 SSL을 통해 LDAP 서비스를 제공하기 시작합니다.

도메인 컨트롤러에서 시작 메뉴에 액세스하고 LDP 응용 프로그램을 검색합니다.

Windows 2012 desktop

연결 메뉴에 액세스하고 연결 옵션을 선택합니다.

Windows LDP application

TCP 포트 636을 사용하여 로컬 호스트에 연결해 보십시오.

SSL 확인란을 선택하고 확인 버튼을 클릭합니다.

Windows ldp ssl connection

TCP 포트 636을 사용하여 로컬 호스트에 연결해 보십시오.

SSL 확인란을 선택하고 확인 버튼을 클릭합니다.

이번에는 로컬 호스트 포트 636에서 LDAP 서비스에 연결할 수 있어야 합니다.

Windows ldaps connection Ok

포트 636에 연결할 수 없는 경우 컴퓨터를 다시 다시 부팅하고 5분 더 기다립니다.

도메인 컨트롤러가 인증 기관에서 요청한 인증서를 받기까지 다소 시간이 걸릴 수 있습니다.

튜토리얼 - 윈도우 도메인 컨트롤러 방화벽

Windows 도메인 컨트롤러에서 방화벽 규칙을 만들어야 합니다.

이 방화벽 규칙을 사용하면 Pfsense 서버가 Active 디렉터리 데이터베이스를 쿼리할 수 있습니다.

도메인 컨트롤러에서 고급 보안을 갖춘 Windows 방화벽이라는 응용 프로그램을 엽니다.

새 인바운드 방화벽 규칙을 만듭니다.

포트 옵션을 선택합니다.

TCP 옵션을 선택합니다.

특정 로컬 포트 옵션을 선택합니다.

TCP 포트 636을 입력합니다.

Windows firewall open port 636

연결 허용 옵션을 선택합니다.

도메인 옵션을 확인합니다.

개인 옵션을 선택합니다.

공용 옵션을 확인합니다.

방화벽 규칙에 대한 설명을 입력합니다.

windows firewall active directory

축하합니다, 당신은 필요한 방화벽 규칙을 만들었습니다.

이 규칙을 사용하면 Pfsense가 Active 디렉터리 데이터베이스를 쿼리할 수 있습니다.

튜토리얼 - PFSense LDAPS 통신 준비

PFsense 콘솔 메뉴에 액세스하고 명령줄에 액세스하려면 옵션 번호 8을 선택합니다.

pfsense menu

다음 명령을 사용하여 LDAPS 통신을 테스트합니다.

도메인 컨트롤러 인증서의 복사본을 얻으려고 시도합니다.

Copy to Clipboard

위의 IP 주소를 도메인 컨트롤러로 변경해야 합니다.

시스템은 도메인 컨트롤러 인증서의 복사본을 표시해야 합니다.

Copy to Clipboard

PFsense 방화벽은 DNS 이름을 사용하여 도메인 컨트롤러와 통신할 수 있어야 합니다. (FQDN)

Pfsense는 TECH-DC01을 번역하기 위해 도메인 컨트롤러를 DNS 서버로 사용할 수 있습니다. 기술. IP 주소에 로컬 192.168.15.10.

PING 명령을 사용하여 PFsense 방화벽이 호스트 이름을 IP 주소로 변환할 수 있는지 확인합니다.

Copy to Clipboard

이 예제에서는 Pfsense 방화벽이 TECH-DC01을 번역할 수 있었습니다. 기술. 로컬 호스트 이름 192.168.15.10.

튜토리얼 - Windows 도메인 계정 생성

다음으로 Active 디렉터리 데이터베이스에 2개 이상의 계정을 만들어야 합니다.

ADMIN 계정은 Pfsense 웹 인터페이스에 로그인하는 데 사용됩니다.

BIND 계정은 Active Directory 데이터베이스를 쿼리하는 데 사용됩니다.

도메인 컨트롤러에서 활성 디렉터리 사용자 및 컴퓨터라는 응용 프로그램을 엽니다.

사용자 컨테이너 내에서 새 계정을 만듭니다.

새 계정 만들기: 관리자

ADMIN 사용자에게 구성된 암호: 123qwe..

이 계정은 Pfsense 웹 인터페이스에서 관리자로 인증하는 데 사용됩니다.

active directory admin account

바인딩이라는 새 계정 만들기

BIND 사용자에게 구성된 암호: 123qwe..

이 계정은 Active Directory 데이터베이스에 저장된 암호를 쿼리하는 데 사용됩니다.

active directory bind account

축하합니다, 당신은 필요한 Active Directory 계정을 만들었습니다.

자습서 - Windows 도메인 그룹 만들기

다음으로 Active 디렉터리 데이터베이스에 1개 이상의 그룹을 만들어야 합니다.

도메인 컨트롤러에서 활성 디렉터리 사용자 및 컴퓨터라는 응용 프로그램을 엽니다.

사용자 컨테이너 내부에 새 그룹을 만듭니다.

Radius Active directory group

pfsense-admin이라는 새 그룹 만들기

이 그룹의 구성원은 PFsense 웹 인터페이스에 대한 관리자 권한을 갖습니다.

pfsense active directory group

중요! 관리자 사용자를 pfsense-admin 그룹의 구성원으로 추가합니다.

pfsense active directory admin group

축하합니다, 당신은 필요한 활성 디렉토리 그룹을 만들었습니다.

PFSense - 활성 디렉토리에 PFSense LDAPS 인증

브라우저 소프트웨어를 열고 Pfsense 방화벽의 IP 주소를 입력하고 웹 인터페이스에 액세스합니다.

이 예제에서는 브라우저에 다음 URL을 입력했습니다.

• https://192.168.15.11

Pfsense 웹 인터페이스를 제시해야 합니다.

Pfsense login

프롬프트 화면에서 Pfsense 기본 암호 로그인 정보를 입력합니다.

• Username: admin
• 암호 : pfsense

성공적인 로그인 후, 당신은 Pfsense 대시 보드로 전송됩니다.

Pfsense dashboard

Pfsense 시스템 메뉴에 액세스하고 사용자 관리자 옵션을 선택합니다.

pfsense user manager menu

사용자 관리자 화면에서 인증 서버 탭에 액세스하고 추가 단추를 클릭합니다.

pfsense authentication servers

서버 설정 영역에서 다음 구성을 수행합니다.

• 설명 이름: ACTIVE 디렉토리
• 유형: LDAP

LDAP 서버 설정 영역에서 다음 구성을 수행합니다.

• 호스트 이름 또는 IP 주소 - TECH-DC01. 기술. 로컬
• 포트 값 - 636
• 전송 - SSL - 암호화
• 프로토콜 버전 - 3
• 서버 시간 시간 - 25
• 검색 범위 - 전체 하위 트리
• 기본 DN - dc= 기술, dc=로컬
• 인증 컨테이너 - CN=사용자, DC=기술, DC=로컬
• 확장 쿼리 - 사용 안 함
• 익명 바인딩 - 사용 안 함
• 바인딩 자격 증명 - CN= 바인드, CN=사용자, DC=기술, DC=로컬
• 바인딩 자격 증명 암호 - BIND 사용자 계정의 암호
• 초기 템플릿 - 마이크로 소프트 광고
• 사용자 이름 지정 특성 - samAccountName
• 그룹 명명 특성 - cn
• 그룹 구성원 속성 - 멤버의
• RFC 2307 그룹 - 비활성화
• 그룹 오브젝트 클래스 - posixGroup
• UTF8 인코딩 - 사용 안 함
• 사용자 이름 변경 - 사용 안 함

TECH-DC01을 변경해야 합니다. 기술. 도메인 컨트롤러 호스트 이름으로 로컬로 지정합니다.

네트워크 환경을 반영하도록 도메인 정보를 변경해야 합니다.

네트워크 환경을 반영하도록 바인딩 자격 증명을 변경해야 합니다.

pfsense ldaps authentication
pfsense server authentication ldap setup

저장 버튼을 클릭하여 구성을 완료합니다.

이 예제에서는 PFSense firewal에서 Ldap 서버 인증을 구성했습니다.

PFSense - 활성 디렉터리 인증 테스트

Pfsense 진단 메뉴에 액세스하고 인증 옵션을 선택합니다.

pfsense diagnostics authentication

Active 디렉터리 인증 서버를 선택합니다.

관리자 사용자 이름, 암호를 입력하고 테스트 버튼을 클릭합니다.

pfsense ldap authentication test

테스트가 성공하면 다음 메시지가 표시됩니다.

pfsense active directory login test

축! Active Directory의 PFsense LDAPS 서버 인증이 성공적으로 구성되었습니다.

PFSense - 활성 디렉토리 그룹 권한

Pfsense 시스템 메뉴에 액세스하고 사용자 관리자 옵션을 선택합니다.

pfsense user manager menu

사용자 관리자 화면에서 그룹 탭에 액세스하고 추가 단추를 클릭합니다.

pfsense group manager

그룹 만들기 화면에서 다음 구성을 수행합니다.

• 그룹 이름 - pfsense-관리자
• 범위 - 원격
• 설명 - 활성 디렉토리 그룹

저장 버튼을 클릭하면 그룹 구성 화면으로 다시 전송됩니다.

pfsense group creation

이제 pfsense-admin 그룹의 권한을 편집해야 합니다.

pfsense-admin 그룹 속성에서 할당된 권한 영역을 찾아 추가 단추를 클릭합니다.

그룹 권한 영역에서 다음 구성을 수행합니다.

• 할당된 권한 - WebCfg - 모든 페이지

pfsense active directory group permission

저장 버튼을 클릭하여 구성을 완료합니다.

PFSense - 활성 디렉터리 인증 사용

Pfsense 시스템 메뉴에 액세스하고 사용자 관리자 옵션을 선택합니다.

pfsense user manager menu

사용자 관리자 화면에서 설정 탭에 액세스합니다.

pfsense authentication settings menu

설정 화면에서 Active 디렉터리 인증 서버를 선택합니다.

저장 및 테스트 버튼을 클릭합니다.

pfsense active directory authentication settings

구성을 완료한 후 Pfsense 웹 인터페이스를 로그오프해야 합니다.

Active Directory 데이터베이스의 관리자 사용자와 암호를 사용하여 로그인해 봅을 사용해 보십시오.

로그인 화면에서 Active Directory 데이터베이스의 관리자 사용자와 암호를 사용합니다.

• Username: admin
• 암호: Active 디렉터리 암호를 입력합니다.

Pfsense login

축! ACTIVE Directory 데이터베이스를 사용하도록 PFSense 인증을 구성했습니다.