Vil du lære hvordan du konfigurerer OPNsense LDAP-godkjenning på Active directory? I denne opplæringen skal vi vise deg hvordan du autentisere OPNsense-brukere ved hjelp av Active Directory-databasen fra Microsoft Windows og LDAP-protokollen.

• OPNsense 19,7

Liste over utstyr

Følgende avsnitt presenterer listen over utstyr som brukes til å opprette denne opplæringen.

Som Amazon Associate tjener jeg på kvalifiserende kjøp.

Opplæring – Brannmur for Windows-domenekontroller

Først må vi opprette en brannmurregel på Windows-domenekontrolleren.

Denne brannmurregelen tillater Opnsense-serveren å spørre Active Directory-databasen.

Åpne programmet windows-brannmur med avansert sikkerhet på domenekontrolleren

Opprett en ny innkommende brannmurregel.

Velg PORT-alternativet.

Velg TCP-alternativet.

Velg alternativet Bestemte lokale porter.

Angi TCP-port 389.

Velg alternativet Tillat tilkoblingen.

Merk av for DOMENE.

Merk av for PRIVAT.

Merk av for OFFENTLIG.

Skriv inn en beskrivelse i brannmurregelen.

Gratulerer, du har opprettet den nødvendige brannmurregelen.

Denne regelen vil tillate Opnsense å spørre Active directory-databasen.

Opplæring – Oppretting av Windows-domenekonto

Deretter må vi opprette minst 2 kontoer i Active Directory-databasen.

ADMIN-kontoen vil bli brukt til å logge inn på Opnsense webgrensesnittet.

BIND-kontoen brukes til å spørre Active Directory-databasen.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny konto i brukerbeholderen.

Opprett en ny konto med navnet: admin

Passord konfigurert til ADMIN bruker: 123qwe..

Denne kontoen vil bli brukt til å autentisere som admin på Opnsense webgrensesnittet.

Opprett en ny konto med navnet: bind

Passord konfigurert til BIND-brukeren: 123qwe..

Denne kontoen brukes til å spørre passordene som er lagret i Active Directory-databasen.

Gratulerer, du har opprettet de nødvendige Active Directory-kontoene.

OPNsense – OPNsense LDAP-godkjenning på Active Directory

Åpne en nettleserprogramvare, skriv inn IP-adressen til Opnsense-brannmuren din og få tilgang til webgrensesnittet.

I vårt eksempel ble følgende URL skrevet inn i nettleseren:

• https://192.168.15.11

Opnsense webgrensesnittet bør presenteres.

Skriv inn inn påloggingsinformasjonen for OPNsense Default Password på ledetekstskjermen.

• Brukernavn: root
• Passord: Passord satt under OPNsense installasjonen

Etter en vellykket pålogging vil du bli sendt til OPNSense Dashboard.

Åpne Opnsense System-menyen, åpne Access-undermenyen og velg Servers-alternativet.

Klikk på Legg til-knappen og utfør følgende konfigurasjon.

• Beskrivende navn: LDAP
• Type: LDAP
• Vertsnavn eller IP-adresse – 34.212.170.252
• Port value – 389
• Transport – TCP Standard
• Protokoll versjon – 3
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Bind legitimasjon Passord – 123qwe.
• Søkeomfang – Hele undertreet
• Base DN – DC = tech, DC = lokal
• Autentiseringsbeholdere – CN = Brukere, DC = TECH, DC = LOCAL
• Initial Template – Microsoft AD
• Attributt for brukernavn – sAMAccountName
• Lese egenskaper
• Synkronisere grupper
• Begrens grupper

Du må endre IP-adressen til domenekontrollerens IP.

Du må endre domeneinformasjonen for å gjenspeile nettverksmiljøet.

Du må endre bind-legitimasjonen for å gjenspeile nettverksmiljøet.

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

I vårt eksempel konfigurerte vi LDAP-serverautentiseringen på OPNsense-brannmuren.

OPNsense – Testing LDAP autentisering

Åpne Opnsense System-menyen, åpne Access-undermenyen og velg Tester-alternativet.

Velg LDAP-godkjenningsserveren.

Skriv inn Admin brukernavn, passord og klikk på Test knapp.

Hvis testen lykkes, bør du se følgende melding.

Gratulerer! OPNsense LDAP-godkjenningen på Active Directory ble vellykket konfigurert.

OPNsense – LDAP gruppetillatelse

Åpne Opnsense System-menyen, åpne Access-undermenyen og velg Grupper-alternativet.

Legg til en ny lokal gruppe i OPNsense-brannmuren.

Utfør følgende konfigurasjon på skjermbildet Gruppeoppretting:

• Gruppenavn – opnsense-admins
• Beskrivelse – Ldap gruppe
• Medlem av – eventuelt kan du legge til rotbrukerkontoen.

Klikk på Lagre-knappen, du vil bli sendt tilbake til gruppekonfigurasjonsskjermen.

Nå må du redigere tillatelsene til opnsense-admins-gruppen.

Finn området Tilordnede rettigheter på opnsense-admins-gruppeegenskapene, og klikk på Legg til-knappen.

Utfør følgende konfigurasjon i grupperettighetsområdet:

• Tilordnede rettigheter – GUI – ALLE sider

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

OPNsense – LDAP brukertillatelse

OPNsense krever at alle Ldap-brukerkontoer finnes i den lokale databasen for å utføre riktig autorisasjonskonfigurasjon.

Vi skal legge til administratorbrukerkontoen i den lokale databasen.

Vi skal konfigurere den lokale kontoen som heter admin medlem av opnsense-admins gruppen.

Åpne Opnsense System-menyen, åpne Access-undermenyen og velg Alternativet Brukere.

Legg til en ny lokal brukerkonto ved hjelp av samme brukernavn fra Active Directory-kontoen.

Gjør denne brukerkontoen medlem av opnsense-admins-gruppen.

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

OPNsense – Aktiver LDAP-godkjenning

Åpne Opnsense System-menyen, åpne undermenyen Innstillinger og velg administrasjonsalternativet.

Finn godkjenningsområdet, velg LDAP-godkjenning og klikk på Lagre-knappen.

Du kan eventuelt velge den lokale databasen som den andre godkjenningsmetoden.

Etter at du har fullført konfigurasjonen, bør du logge av Opnsense-webgrensesnittet.

Prøv å logge på ved hjelp av administratorbrukeren og passordet fra Active Directory-databasen.

Bruk administratorbrukeren og passordet fra Active Directory-databasen på påloggingsskjermen.

• Brukernavn: admin
• Passord: Skriv inn Active Directory-passordet.

Gratulerer! Du har konfigurert OPNsense-godkjenning til å bruke Active Directory-databasen ved hjelp av LDAP.