Wilt u weten hoe u de PFsense Active-directoryverificatie configureren met LDAP via SSL? In deze zelfstudie laten we u zien hoe u PFSense-gebruikers in de Active Directory-database verifiëren met behulp van het LDAPS-protocol voor een versleutelde verbinding.

• Pfsense 2.4.4-p3
• Windows 2012 R2

Zelfstudie - Active Directory-installatie op Windows

• IP - 192.168.15.10.
• Operacional System - Windows 2012 R2
• Hostname - TECH-DC01
• Active Directory Domain: TECH.LOCAL

Als u al een Active Directory-domein hebt, u dit deel van de zelfstudie overslaan.

Open de toepassing Serverbeheer.

Open het menu Beheren en klik op Rollen en functies toevoegen.

Windows 2012 add role

Toegang tot het rolscherm Server, selecteer de Active Directory Domain Service en klik op de knop Volgende.

active directory installation

Klik op het volgende scherm op de knop Functies toevoegen.

active directory windows installation

Blijf op de knop Volgende klikken totdat u het laatste scherm bereikt.

windows install active directory

Klik op het bevestigingsscherm op de knop Installeren.

active directory installation confirmation

Wacht de installatie van de Active-map tot klaar.

active directory installation windows

Open de toepassing Serverbeheer.

Klik op het menu van de gele vlag en selecteer de optie om deze server te promoten bij een domeincontroller

active directory configuration

Selecteer de optie om een nieuw forest toe te voegen en voer een hoofddomeinnaam in.

In ons voorbeeld hebben we een nieuw domein met de naam: TECH. Lokale.

deployment active directory

Voer een wachtwoord in om de Active Directory-herstel te beveiligen.

domain controller options

Klik op het scherm DNS-opties op de knop Volgende.

active directory dns options

Controleer de Naam Netbios die aan uw domein is toegewezen en klik op de knop Volgende.

ad netbios name

Klik op de knop Volgende.

active directory paths

Bekijk uw configuratieopties en klik op de knop Volgende.

active directory summary

Klik op het scherm Vereisten controle op de knop Installeren.

active directory prerequisites check

Wacht de Active Directory-configuratie om te voltooien.

active directory installation wizard

Na het voltooien van de Active directory-installatie wordt de computer automatisch opnieuw opgestart

U bent klaar met de Active directory-configuratie op de Windows-server.

PFSense - Het testen van de LDAP via SSL-communicatie

We moeten testen of uw domeincontroller de LDAP via SSL-service op poort 636 aanbiedt.

Ga op de domeincontroller naar het startmenu en zoek naar de LDP-toepassing.

Windows 2012 desktop

Laten we eerst testen of uw domeincontroller de LDAP-service op poort 389 aanbiedt.

Open het menu Verbinding en selecteer de optie Verbinding maken.

Windows LDP application

Probeer verbinding te maken met de localhost met behulp van de TCP-poort 389.

Windows ldp ldap connection

U moet verbinding kunnen maken met de LDAP-service op de localhostpoort 389.

Windows ldap connection Ok

Nu moeten we testen of uw domeincontroller de LDAP via SSL-service op poort 636 aanbiedt.

Open een nieuw LDP-toepassingsvenster en probeer verbinding te maken met de localhost met de TCP-poort 636.

Schakel het selectievakje SSL in en klik op de knop Ok.

Windows ldp ssl connection

Als het systeem een foutbericht weergeeft, biedt uw domeincontroller de LDAPS-service nog niet aan.

Om dit op te lossen, gaan we een Windows-certificeringsinstantie installeren op het volgende deel van deze zelfstudie.

ldp error 636 warning

Als u met ssl-versleuteling verbinding maken met de localhost op poort 636, u het volgende deel van deze zelfstudie overslaan.

Zelfstudie - Installatie certificeringsinstantie op Windows

We moeten de Windows-certificeringsinstantieservice installeren.

De lokale certificeringsinstantie verstrekt de domeincontroller een certificaat waarmee de LDAPS-service kan worden bediend op de TCP-poort 636.

Open de toepassing Serverbeheer.

Open het menu Beheren en klik op Rollen en functies toevoegen.

Windows 2012 add role

Toegang tot het rolscherm Server, selecteer de Active Directory Certificate Services en klik op de knop Volgende.

windows certification authority installation

Klik op het volgende scherm op de knop Functies toevoegen.

active directory certificate service

Blijf op de knop Volgende klikken totdat u het scherm van de functieservice bereikt.

Schakel de optie met de naam Certificeringsinstantie in en klik op de knop Volgende.

Windows server 2012 Certification authority install

Klik op het bevestigingsscherm op de knop Installeren.

Windows ca confirmation screen

Wacht de installatie van de certificeringsinstantie om te voltooien.

Windows 2012 R2 certification authority installation

Open de toepassing Serverbeheer.

Klik op het menu met gele vlag en selecteer de optie: Active Directory Certificate Services configureren

certification authority post deployment

Klik op het scherm Referenties op de knop Volgende.

Selecteer de optie Certificeringsinstantie en klik op de knop Volgende.

Windows certification authority role service

Selecteer de optie Enterprise CA en klik op de knop Volgende.

windows enterprise ca

Selecteer de optie Een nieuwe privésleutel maken en klik op de knop Volgende.

windows ca new private key

Bewaar de standaardconfiguratie van cryptografie en klik op de knop Volgende.

windows cryptography for ca

Stel een algemene naam in op de certificeringsinstantie en klik op de knop Volgende.

In ons voorbeeld stellen we de gemeenschappelijke naam: TECH-CA

Windows CA name configuration

Stel de geldigheidsperiode van de Windows-certificeringsinstantie in.

Windows CA validity period

Bewaar de standaard databaselocatie van windows certificeringsinstantie.

windows certificate database

Controleer het overzicht en klik op de knop Configureren.

Windows Ca installation summary

Wacht tot de installatie van de Windows-certificeringsinstantie is voltooid.

Windows cs authority results

Nadat u de installatie van de certificeringsinstantie hebt opklaart, start u uw computer opnieuw op.

U bent klaar met de installatie van de Windows-certificeringsinstantie.

PFSense - Het testen van de LDAP via SSL-communicatie opnieuw

We moeten testen of uw domeincontroller de LDAP via SSL-service op poort 636 aanbiedt.

Wacht na het voltooien van de installatie van certificeringsinstantie 5 minuten en start uw domeincontroller opnieuw op.

Tijdens het opstarten vraagt uw domeincontroller automatisch een servercertificaat aan bij de lokale certificeringsinstantie.

Nadat u het servercertificaat hebt ontvangen, begint uw domeincontroller met het aanbieden van de LDAP-service via SSL op de 636-poort.

Ga op de domeincontroller naar het startmenu en zoek naar de LDP-toepassing.

Windows 2012 desktop

Open het menu Verbinding en selecteer de optie Verbinding maken.

Windows LDP application

Probeer verbinding te maken met de localhost met behulp van de TCP-poort 636.

Schakel het selectievakje SSL in en klik op de knop Ok.

Windows ldp ssl connection

Probeer verbinding te maken met de localhost met behulp van de TCP-poort 636.

Schakel het selectievakje SSL in en klik op de knop Ok.

Deze keer moet u verbinding kunnen maken met de LDAP-service op de localhostpoort 636.

Windows ldaps connection Ok

Als u geen verbinding maken met poort 636, start u de computer opnieuw op en wacht u nog 5 minuten.

Het kan enige tijd duren voordat uw domeincontroller het certificaat ontvangt dat is aangevraagd bij de certificeringsinstantie.

Zelfstudie - Windows Domain Controller Firewall

We moeten een firewallregel maken op de Windows-domeincontroller.

Met deze firewallregel kan de Pfsense-server de Active directory-database opvragen.

Open op de domeincontroller de toepassing met de naam Windows Firewall met Geavanceerde beveiliging

Maak een nieuwe inkomende firewallregel.

zabbix active directory

Selecteer de optie POORT.

zabbix windows firewall port

Selecteer de optie TCP.

Selecteer de optie Specifieke lokale poorten.

Voer de TCP-poort 636 in.

Windows firewall open port 636

Selecteer de optie Verbinding toestaan.

zabbix windows firewall allow connection

Controleer de optie DOMEIN.

Controleer de optie PRIVÉ.

Controleer de optie OPENBAAR.

Zabbix windows firewall profile

Voer een beschrijving in bij de firewallregel.

windows firewall active directory

Gefeliciteerd, je hebt de vereiste firewallregel gemaakt.

Met deze regel kan Pfsense de Active directory-database opvragen.

Zelfstudie - Voorbereiden van de PFSense LDAPS-communicatie

Toegang tot het pfsense-consolemenu en selecteer de optie nummer 8 om toegang te krijgen tot de opdrachtregel.

pfsense menu

Gebruik de volgende opdracht om de LDAPS-communicatie te testen.

Het zal proberen om een kopie van het certificaat van de domeincontroller te krijgen.

Copy to Clipboard

Houd er rekening mee dat u het bovenstaande IP-adres moet wijzigen in uw domeincontroller.

Het systeem moet een kopie van het certificaat domeincontroller weergeven.

Copy to Clipboard

De PFsense-firewall moet met de domeincontroller kunnen communiceren met de DNS-naam. (FQDN)

De Pfsense kan de domeincontroller gebruiken als DNS-server om TECH-DC01 te kunnen vertalen. Tech. LOKAAL naar het IP-adres 192.168.15.10.

Gebruik de opdracht PING om te controleren of de PFsense-firewall de hostnaam naar het IP-adres kan vertalen.

Copy to Clipboard

In ons voorbeeld was de Pfsense firewall in staat om de TECH-DC01 te vertalen. Tech. LOKALE hostname naar 192.168.15.10.

Zelfstudie - Het maken van Windows Domain-account

Vervolgens moeten we ten minste 2 accounts maken in de Active directory-database.

Het ADMIN-account wordt gebruikt om in te loggen op de Pfsense webinterface.

Het BIND-account wordt gebruikt om de Active Directory-database op te vragen.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuw account in de container Gebruikers.

Zabbix active directory account

Een nieuw account met de naam: beheerder maken

Wachtwoord geconfigureerd voor de ADMIN-gebruiker: 123qwe..

Dit account wordt gebruikt om te verifiëren als beheerder op de Pfsense-webinterface.

active directory admin accountzabbix active directory admin properties

Een nieuw account met de naam: binden

Wachtwoord geconfigureerd voor de BIND-gebruiker: 123qwe..

Dit account wordt gebruikt om de wachtwoorden op te vragen die zijn opgeslagen in de Active Directory-database.

active directory bind accountzabbix active directory ldap bind properties

Gefeliciteerd, je hebt de vereiste Active Directory-accounts gemaakt.

Zelfstudie - Het maken van Windows-domeingroep

Vervolgens moeten we ten minste 1 groep maken in de Active directory-database.

Open op de domeincontroller de toepassing met de naam: Active Directory Users and Computers

Maak een nieuwe groep in de container Gebruikers.

Grafana active directory group

Een nieuwe groep met de naam: pfsense-admin maken

Leden van deze groep hebben de beheerdersmachtiging op de PFsense-webinterface.

pfsense active directory group

Belangrijk! Voeg de beheerdersgebruiker toe als lid van de pfsense-beheergroep.

pfsense active directory admin group

Gefeliciteerd, u hebt de vereiste Active Directory-groep gemaakt.

PFSense - PFSense LDAPS-verificatie op Active Directory

Open een browsersoftware, voer het IP-adres van uw Pfsense-firewall in en krijg toegang tot de webinterface.

In ons voorbeeld is de volgende URL ingevoerd in de browser:

• https://192.168.15.11

De Pfsense webinterface moet worden gepresenteerd.

Pfsense login

Voer op het promptscherm de inloggegevens van Pfsense Standaardwachtwoord in.

• Username: admin
• Wachtwoord: pfsense

Na een succesvolle login wordt u naar het Pfsense Dashboard gestuurd.

Pfsense dashboard

Toegang tot het menu Pfsense-systeem en selecteer de optie Gebruikersbeheer.

pfsense user manager menu

Ga op het scherm Gebruikersbeheer naar het tabblad Verificatieservers en klik op de knop Toevoegen.

pfsense authentication servers

Voer op het gebied Serverinstellingen de volgende configuratie uit:

• Beschrijvingsnaam: ACTIVE DIRECTORY
• Type: LDAP

Voer op het gebied van LDAP-serverinstellingen de volgende configuratie uit:

• Hostname of IP-adres - TECH-DC01. Tech. Lokale
• Poortwaarde - 636
• Transport - SSL - Versleuteld
• Protocolversie - 3
• Server time-out - 25
• Zoekbereik - Hele substructuur
• Base DN - dc=tech,dc=local
• Authenticatie containers - CN=Users, DC=tech, DC=local
• Uitgebreide query - Uitgeschakeld
• Bind anoniem - Uitgeschakeld
• Bind referenties - CN=bind,CN=Users,DC=tech, DC=local
• Bind referenties Wachtwoord - Wachtwoord van het BIND-gebruikersaccount
• Eerste sjabloon - Microsoft AD
• Kenmerk gebruikersnaam - samAccountName
• Kenmerk groepsnaamgeving - cn
• Groepslid attribuut - lidOf
• RFC 2307 Groepen - Uitgeschakeld
• Groepsobjectklasse - posixGroep
• UTF8-code - Uitgeschakeld
• Wijzigingen in gebruikersnaam - Uitgeschakeld

Je moet TECH-DC01 veranderen. Tech. LOKAAL naar de hostnaam van uw domeincontroller.

U moet de domeininformatie wijzigen om uw netwerkomgeving weer te geven.

U moet de bindingsreferenties wijzigen om uw netwerkomgeving weer te geven.

pfsense ldaps authenticationpfsense server authentication ldap setup

Klik op de knop Opslaan om de configuratie te voltooien.

In ons voorbeeld hebben we de Ldap-serververificatie geconfigureerd op de PFSense firewal.

PFSense - Active Directory-verificatie testen

Toegang tot het menu Pfsense Diagnostics en selecteer de optie Verificatie.

pfsense diagnostics authentication

Selecteer de Active directory-verificatieserver.

Voer de gebruikersnaam van de beheerder, het wachtwoord in en klik op de knop Testen.

pfsense ldap authentication test

Als uw test slaagt, ziet u het volgende bericht.

pfsense active directory login test

Gefeliciteerd! Uw PFsense LDAPS-serververificatie in Active Directory is met succes geconfigureerd.

PFSense - Machtigingen voor Active Directory Group

Toegang tot het menu Pfsense-systeem en selecteer de optie Gebruikersbeheer.

pfsense user manager menu

Ga op het scherm Gebruikersbeheer naar het tabblad Groepen en klik op de knop Toevoegen.

pfsense group manager

Voer op het scherm Groeperen de volgende configuratie uit:

• Groepsnaam - pfsense-admin
• Scope - Remote
• Beschrijving - Active Directory-groep

Klik op de knop Opslaan, u wordt teruggestuurd naar het configuratiescherm van de groep.

pfsense group creation

Nu moet u de machtigingen van de pfsense-admin-groep bewerken.

Zoek in de eigenschappen van de pfsense-beheergroep het gebied Toegewezen bevoegdheden en klik op de knop Toevoegen.

Voer in het gebied Groepsbevoegdheden de volgende configuratie uit:

• Toegewezen bevoegdheden - WebCfg - Alle pagina's