Wilt u weten hoe u OPNsense LDAP-verificatie configureert op Active directory? In deze zelfstudie laten we u zien hoe u OPNsense-gebruikers verifiëren met behulp van de Active directory-database van Microsoft Windows en het LDAP-protocol.

• OPNsense 19,7

Uitrustingslijst

In de volgende sectie wordt de lijst weergegeven met apparatuur die wordt gebruikt om deze zelfstudie te maken.

Als Amazon Associate verdien ik aan kwalificerende aankopen.

Zelfstudie – Windows Domain Controller Firewall

Ten eerste moeten we een firewallregel maken op de Windows-domeincontroller.

Met deze firewallregel kan de Opnsense-server de Active directory-database opvragen.

Open op de domeincontroller de toepassing met de naam Windows Firewall met Geavanceerde beveiliging

Maak een nieuwe inkomende firewallregel.

zabbix active directory

Selecteer de optie POORT.

zabbix windows firewall port

Selecteer de optie TCP.

Selecteer de optie Specifieke lokale poorten.

Voer de TCP-poort 389 in.

zabbix windows firewall port ldap

Selecteer de optie Verbinding toestaan.

zabbix windows firewall allow connection

Controleer de optie DOMEIN.

Controleer de optie PRIVÉ.

Controleer de optie OPENBAAR.

Zabbix windows firewall profile

Voer een beschrijving in bij de firewallregel.

windows firewall active directory

Gefeliciteerd, je hebt de vereiste firewallregel gemaakt.

Met deze regel kan Opnsense de Active directory-database opvragen.

Zelfstudie – Het maken van Windows Domain-account

Vervolgens moeten we ten minste 2 accounts maken in de Active directory-database.

Het ADMIN-account wordt gebruikt om in te loggen op de Opnsense-webinterface.

Het BIND-account wordt gebruikt om de Active Directory-database op te vragen.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuw account in de container Gebruikers.

Zabbix active directory account

Een nieuw account met de naam: beheerder maken

Wachtwoord geconfigureerd voor de ADMIN-gebruiker: 123qwe..

Dit account wordt gebruikt om te verifiëren als beheerder op de Opnsense-webinterface.

active directory admin account
zabbix active directory admin properties

Een nieuw account met de naam: binden

Wachtwoord geconfigureerd voor de BIND-gebruiker: 123qwe..

Dit account wordt gebruikt om de wachtwoorden op te vragen die zijn opgeslagen in de Active Directory-database.

active directory bind account
zabbix active directory ldap bind properties

Gefeliciteerd, je hebt de vereiste Active Directory-accounts gemaakt.

OPNsense – OPNsense LDAP-verificatie op Active Directory

Open een browsersoftware, voer het IP-adres van uw Opnsense-firewall in en krijg toegang tot de webinterface.

In ons voorbeeld is de volgende URL ingevoerd in de browser:

• https://192.168.15.11

De opnsense webinterface moet worden gepresenteerd.

opnsense login

Voer op het promptscherm de inloggegevens van OPNsense Standaardwachtwoord in.

• Gebruikersnaam: root
• Wachtwoord: Wachtwoord ingesteld tijdens OPNsense de installatie

Na een succesvolle login wordt u naar het OPNSense-dashboard gestuurd.

opnsense dashboard

Toegang tot het menu Opnsense-systeem, toegang tot het submenu Access en selecteer de optie Servers.

opnsense servers menu

Klik op de knop Toevoegen en voer de volgende configuratie uit.

• Beschrijvende naam: LDAP
• Type: LDAP
• Hostname of IP-adres – 34.212.170.252
• Poortwaarde – 389
• Transport – TCP-standaard
• Protocolversie – 3
• Bind referenties – CN=bind,CN=Users,DC=tech, DC=local
• Bind referenties Wachtwoord – 123qwe.
• Zoekbereik – Hele substructuur
• Base DN – DC=tech,DC=local
• Authenticatie containers – CN=Users,DC=TECH,DC=LOCAL
• Eerste sjabloon – Microsoft AD
• Kenmerk gebruikersnaam – sAMAccountName
• Eigenschappen lezen
• Groepen synchroniseren
• Groepen beperken

U moet het IP-adres wijzigen in uw domeincontroller IP.

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

U moet de bindingsreferenties wijzigen om uw netwerkomgeving weer te geven.

opnsense ldap authentication

Klik op de knop Opslaan om de configuratie te voltooien.

In ons voorbeeld hebben we de LDAP-serververificatie geconfigureerd op de OPNsense-firewall.

OPNsense – LDAP-verificatie testen

Toegang tot het menu Opnsense-systeem, toegang tot het submenu Access en selecteer de optie Tester.

Selecteer de LDAP-verificatieserver.

Voer de gebruikersnaam van de beheerder, het wachtwoord in en klik op de knop Testen.

Als uw test slaagt, ziet u het volgende bericht.

opnsense ldap authentication test

Gefeliciteerd! Uw OPNsense LDAP-verificatie in active directory is met succes geconfigureerd.

OPNsense – LDAP-groepsmachtigingen

Toegang tot het menu Opnsense-systeem, toegang tot het submenu Access en selecteer de optie Groepen.

opnsense servers menu

Voeg een nieuwe lokale groep toe aan de OPNsense-firewall.

Voer op het scherm Groeperen de volgende configuratie uit:

• Groepsnaam – opnsense-admins
• Beschrijving – Ldap-groep
• Lid van – optioneel u het root-gebruikersaccount toevoegen.

Klik op de knop Opslaan, u wordt teruggestuurd naar het configuratiescherm van de groep.

opnsense radius group

Nu moet u de machtigingen van de groep opnsense-beheerders bewerken.

Zoek in de eigenschappen van de groep Opnsense-beheerders het gebied Toegewezen bevoegdheden en klik op de knop Toevoegen.

Voer in het gebied Groepsbevoegdheden de volgende configuratie uit:

• Toegewezen bevoegdheden – GUI – ALLE pagina’s

opnsense group permission

Klik op de knop Opslaan om de configuratie te voltooien.

OPNsense – LDAP-gebruikersmachtigingen

OPNsense vereist dat alle Ldap-gebruikersaccounts in de lokale database bestaan om de juiste autorisatieconfiguratie uit te voeren.

We gaan het beheerdersgebruikersaccount toevoegen aan de lokale database.

We gaan het lokale account met de naam admin lid van de groep opnsense-beheerders configureren.

Toegang tot het menu Opnsense-systeem, toegang tot het submenu Access en selecteer de optie Gebruikers.

opnsense servers menu

Voeg een nieuw lokaal gebruikersaccount toe met dezelfde gebruikersnaam uit het Active directory-account.

opnsense radius user

Maak dit gebruikersaccount lid van de groep opnsense-beheerders.

opnsense radius user group

Klik op de knop Opslaan om de configuratie te voltooien.

OPNsense – De LDAP-verificatie inschakelen

Toegang tot het menu Opnsense-systeem, toegang tot het submenu Instellingen en selecteer de optie Beheer.

opnsense administration menu

Zoek het verificatiegebied, selecteer de LDAP-verificatie en klik op de knop Opslaan.

opnsense ldap active directory

Selecteer de lokale database optioneel als de tweede verificatiemethode.

Na het beëindigen van uw configuratie moet u zich afmelden voor de Opnsense-webinterface.

Probeer in te loggen met de beheerdersgebruiker en het wachtwoord uit de Active Directory-database.

Gebruik op het inlogscherm de beheerdersgebruiker en het wachtwoord uit de Active Directory-database.

• Username: admin
• Wachtwoord: Voer het active directory-wachtwoord in.

opnsense login

Gefeliciteerd! U hebt de OPNsense-verificatie geconfigureerd om de Active directory-database te gebruiken met LDAP.