Vil du lære hvordan du konfigurerer PFsense Active directory-godkjenning ved hjelp av LDAP over SSL? I denne opplæringen skal vi vise deg hvordan du godkjenner PFSense-brukere på Active Directory-databasen ved hjelp av LDAPS-protokollen for en kryptert tilkobling.
• Pfsense 2.4.4-p3
• Windows 2012 R2
PFsense Relaterte Tutorial:
På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til pfSense.
Opplæring – Active Directory-installasjon på Windows
• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL
Hvis du allerede har et Active Directory-domene, kan du hoppe over denne delen av opplæringen.
Åpne Serverbehandling-programmet.
Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.
Åpne skjermbildet Serverrolle, velg Active Directory Domain Service og klikk på Neste-knappen.
Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.
Fortsett å klikke på Neste-knappen til du kommer til det siste skjermbildet.
Klikk på Installer-knappen på bekreftelsesskjermbildet.
Vent Active directory-installasjonen for å fullføre.
Åpne Serverbehandling-programmet.
Klikk på menyen for gult flagg og velg alternativet for å forfremme denne serveren til en domenekontroller
Velg alternativet For å Legge til en ny skog og angi et rotdomenenavn.
I vårt eksempel opprettet vi et nytt domene med navnet: TECH. Lokale.
Skriv inn et passord for å sikre Active Directory-gjenopprettingen.
Klikk neste-knappen på DNS-alternativskjermbildet.
Kontroller Netbios-navnet som er tilordnet domenet ditt, og klikk på Neste-knappen.
Klikk på Neste-knappen.
Se gjennom konfigurasjonsalternativene og klikk på Neste-knappen.
På skjermbildet Forutsetninger Sjekk klikker du på Installer-knappen.
Vent Active Directory-konfigurasjonen for å fullføre.
Når Active directory-installasjonen er fullført, starter datamaskinen på nytt automatisk
Du har fullført Active Directory-konfigurasjonen på Windows-serveren.
PFSense – Testing av LDAP over SSL-kommunikasjon
Vi må teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.
Åpne startmenyen på domenekontrolleren, og søk etter LDP-programmet.
La oss først teste om domenekontrolleren tilbyr LDAP-tjenesten på port 389.
Åpne Tilkobling-menyen, og velg alternativet Koble til.
Prøv å koble til localhost ved hjelp av TCP-port 389.
Du bør kunne koble til LDAP-tjenesten på localhost-porten 389.
Nå må vi teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.
Åpne et nytt LDP-programvindu, og prøv å koble til localhost ved hjelp av TCP-port 636.
Merk av for SSL og klikk på Ok knapp.
Hvis systemet viser en feilmelding, tilbyr domenekontrolleren ikke LDAPS-tjenesten ennå.
For å løse dette, skal vi installere en Windows sertifiseringsinstans på neste del av denne opplæringen.
Hvis du kunne koble til localhost på port 636 ved hjelp av SSL-kryptering, kan du hoppe over neste del av denne opplæringen.
Opplæring – Installasjon av sertifiseringsinstanser i Windows
Vi må installere Windows-sertifiseringsinstanstjenesten.
Den lokale sertifiseringsinstansen vil gi domenekontrolleren et sertifikat som gjør det mulig for LDAPS-tjenesten å fungere på TCP-port 636.
Åpne Serverbehandling-programmet.
Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.
Åpne skjermbildet Serverrolle, velg Active Directory Certificate Services og klikk på Neste-knappen.
Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.
Fortsett å klikke på Neste-knappen til du kommer til skjermbildet for rolletjeneste.
Aktiver alternativet kalt Sertifiseringsinstans og klikk på Neste-knappen.
Klikk på Installer-knappen på bekreftelsesskjermbildet.
Vent installasjonen av sertifiseringsinstansen for å fullføre.
Åpne Serverbehandling-programmet.
Klikk på menyen for gult flagg og velg alternativet: Konfigurere Active Directory Certificate Services
Klikk neste-knappen på legitimasjonsskjermen.
Velg alternativet Sertifiseringsinstans og klikk på Neste-knappen.
Velg Enterprise CA alternativet og klikk på Neste knapp.
Velg alternativet Opprett en ny privat nøkkel og klikk på Neste knapp.
Behold standard kryptografikonfigurasjon og klikk på Neste-knappen.
Angi et vanlig navn til sertifiseringsinstansen, og klikk på Neste-knappen.
I vårt eksempel angir vi fellesnavnet: TECH-CA
Angi gyldighetsperioden for Sertifiseringsinstans for Windows.
Behold standard databaseplassering for Windows-sertifiseringsinstans.
Bekreft sammendraget og klikk på Konfigurer-knappen.
Vent til installasjonen av Sertifiseringsinstans for Windows-serveren er fullført.
Når du har fullført installasjonen av sertifiseringsinstansen, starter du datamaskinen på nytt.
Du er ferdig med installasjonen av Windows sertifiseringsinstans.
PFSense – Testing av LDAP over SSL-kommunikasjon igjen
Vi må teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.
Når sertifiseringsinstansinstallasjonen er fullført, venter du i 5 minutter og starter domenekontrolleren på nytt.
Under oppstartstiden vil domenekontrolleren automatisk be om et serversertifikat fra den lokale sertifiseringsinstansen.
Når du har fått serversertifikatet, vil domenekontrolleren begynne å tilby LDAP-tjenesten over SSL på 636-porten.
Åpne startmenyen på domenekontrolleren, og søk etter LDP-programmet.
Åpne Tilkobling-menyen, og velg alternativet Koble til.
Prøv å koble til localhost ved hjelp av TCP-port 636.
Merk av for SSL og klikk på Ok knapp.
Prøv å koble til localhost ved hjelp av TCP-port 636.
Merk av for SSL og klikk på Ok knapp.
Denne gangen skal du kunne koble til LDAP-tjenesten på localhost-porten 636.
Hvis du ikke kan koble til port 636, starter du datamaskinen på nytt og venter 5 minutter mer.
Det kan ta en gang før domenekontrolleren mottar sertifikatet som er forespurt fra sertifiseringsinstansen.
Opplæring – Brannmur for Windows-domenekontroller
Vi må opprette en brannmurregel på Windows-domenekontrolleren.
Denne brannmurregelen tillater Pfsense-serveren å spørre Active Directory-databasen.
Åpne programmet windows-brannmur med avansert sikkerhet på domenekontrolleren
Opprett en ny innkommende brannmurregel.
Velg PORT-alternativet.
Velg TCP-alternativet.
Velg alternativet Bestemte lokale porter.
Angi TCP-port 636.
Velg alternativet Tillat tilkoblingen.
Merk av for DOMENE.
Merk av for PRIVAT.
Merk av for OFFENTLIG.
Skriv inn en beskrivelse i brannmurregelen.
Gratulerer, du har opprettet den nødvendige brannmurregelen.
Denne regelen tillater Pfsense å spørre Active directory-databasen.
Opplæring – Klargjøre PFSense LDAPS-kommunikasjonen
Åpne PFsense-konsollmenyen og velg alternativnummer 8 for å få tilgang til kommandolinjen.
Bruk følgende kommando til å teste LDAPS-kommunikasjonen.
Det vil prøve å få en kopi av domenekontrollersertifikatet.
Husk at du må endre IP-adressen ovenfor til domenekontrolleren.
Systemet skal vise en kopi av domenekontrollersertifikatet.
PFsense-brannmuren må kunne kommunisere med domenekontrolleren ved hjelp av DNS-navnet. (FQDN)
Pfsense kan bruke domenekontrolleren som en DNS-server for å kunne oversette TECH-DC01. Tech. LOKAL til IP-adressen 192.168.15.10.
Bruk PING-kommandoen til å kontrollere om PFsense-brannmuren kan oversette vertsnavnet til IP-adresse.
I vårt eksempel var Pfsense-brannmuren i stand til å oversette TECH-DC01. Tech. LOKALT vertsnavn til 192.168.15.10.
Opplæring – Oppretting av Windows-domenekonto
Deretter må vi opprette minst 2 kontoer i Active Directory-databasen.
ADMIN-kontoen vil bli brukt til å logge inn på Pfsense-webgrensesnittet.
BIND-kontoen brukes til å spørre Active Directory-databasen.
Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren
Opprett en ny konto i brukerbeholderen.
Opprett en ny konto med navnet: admin
Passord konfigurert til ADMIN bruker: 123qwe..
Denne kontoen vil bli brukt til å autentisere som admin på Pfsense web-grensesnittet.
Opprett en ny konto med navnet: bind
Passord konfigurert til BIND-brukeren: 123qwe..
Denne kontoen brukes til å spørre passordene som er lagret i Active Directory-databasen.
Gratulerer, du har opprettet de nødvendige Active Directory-kontoene.
Opplæring – Oppretting av Windows-domenegrupper
Deretter må vi opprette minst 1 gruppe i Active directory-databasen.
Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren
Opprett en ny gruppe i brukerbeholderen.
Opprett en ny gruppe med navnet: pfsense-admin
Medlemmer av denne gruppen vil ha Admin tillatelse på PFsense web-grensesnittet.
Viktig! Legg til administratorbrukeren som medlem av pfsense-admin-gruppen.
Gratulerer, du har opprettet den nødvendige Active Directory-gruppen.
PFSense – PFSense LDAPS-godkjenning i Active Directory
Åpne en nettleserprogramvare, skriv inn IP-adressen til Pfsense-brannmuren din og få tilgang til webgrensesnittet.
I vårt eksempel ble følgende URL skrevet inn i nettleseren:
• https://192.168.15.11
Pfsense-webgrensesnittet bør presenteres.
Skriv inn inn påloggingsinformasjonen pfsense standardpassord på ledetekstskjermen.
• Brukernavn: admin
• Passord: pfsense
Etter en vellykket innlogging, vil du bli sendt til Pfsense Dashboard.
Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.
I skjermbildet Brukerbehandling åpner du kategorien Godkjenningsservere og klikker på Legg til-knappen.
Utfør følgende konfigurasjon i serverinnstillingsområdet:
• Description name: ACTIVE DIRECTORY
• Type: LDAP
Utfør følgende konfigurasjon i området LDAP Server:
• Vertsnavn eller IP-adresse – TECH-DC01. Tech. Lokale
• Port verdi – 636
• Transport – SSL – Kryptert
• Protocol version – 3
• Server Timeout – 25
• Search Scope – Entire Subtree
• Base DN – dc=tech,dc=local
• Authentication containers – CN=Users,DC=tech,DC=local
• Extended query – Disabled
• Bind anonymous – Disabled
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password – Password of the BIND user account
• Initial Template – Microsoft AD
• User naming attribute – samAccountName
• Group naming attribute – cn
• Group member attribute – memberOf
• RFC 2307 Groups – Disabled
• Group Object Class – posixGroup
• UTF8 Encode – Disabled
• Username Alterations – Disabled
Du må endre TECH-DC01.TECH.LOCAL til domenekontrollerens vertsnavn.
Du må endre domeneinformasjonen for å gjenspeile nettverksmiljøet.
Du må endre bind-legitimasjonen for å gjenspeile nettverksmiljøet.
Klikk på Lagre-knappen for å fullføre konfigurasjonen.
I vårt eksempel konfigurerte vi Ldap-serverautentiseringen på PFSense firewal.
PFSense – Testing av Active Directory-godkjenning
Åpne Pfsense Diagnostics-menyen, og velg autentiseringsalternativet.
Velg Active directory-godkjenningsserveren.
Skriv inn Admin brukernavn, passord og klikk på Test knapp.
Hvis testen lykkes, bør du se følgende melding.
Gratulerer! PFsense LDAPS-serverautentiseringen på Active Directory ble vellykket konfigurert.
PFSense – tillatelse fra Active Directory-gruppen
Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.
I skjermbildet Brukerbehandling åpner du kategorien Grupper og klikker på Legg til-knappen.
Utfør følgende konfigurasjon på skjermbildet Gruppeoppretting:
• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group
Klikk på Lagre-knappen, du vil bli sendt tilbake til gruppekonfigurasjonsskjermen.
Nå må du redigere tillatelsene til pfsense-admin-gruppen.
Finn området Tilordnede rettigheter på pfsense-admin-gruppeegenskapene, og klikk på Legg til-knappen.
Utfør følgende konfigurasjon i grupperettighetsområdet:
• Assigned privileges – WebCfg – All pages
Klikk på Lagre-knappen for å fullføre konfigurasjonen.
PFSense – Aktivere Active Directory-godkjenning
Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.
Åpne kategorien Innstillinger i brukerbehandling-skjermen.
Velg Active directory-godkjenningsserveren på Innstillinger-skjermbildet.
Klikk på Lagre og test-knappen.
Etter at du har fullført konfigurasjonen, bør du logge av Pfsense-webgrensesnittet.
Prøv å logge på ved hjelp av administratorbrukeren og passordet fra Active Directory-databasen.
Bruk administratorbrukeren og passordet fra Active Directory-databasen på påloggingsskjermen.
• Brukernavn: admin
• Passord: Skriv inn Active Directory-passordet.
Gratulerer! Du har konfigurert PFSense-godkjenning til å bruke Active Directory-databasen.
