Vil du lære hvordan du konfigurerer PFsense Active directory-godkjenning ved hjelp av LDAP over SSL? I denne opplæringen skal vi vise deg hvordan du godkjenner PFSense-brukere på Active Directory-databasen ved hjelp av LDAPS-protokollen for en kryptert tilkobling.

• Pfsense 2.4.4-p3
• Windows 2012 R2

Opplæring - Active Directory-installasjon på Windows

• IP - 192.168.15.10.
• Operacional System - Windows 2012 R2
• Hostname - TECH-DC01
• Active Directory Domain: TECH.LOCAL

Hvis du allerede har et Active Directory-domene, kan du hoppe over denne delen av opplæringen.

Åpne Serverbehandling-programmet.

Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.

Åpne skjermbildet Serverrolle, velg Active Directory Domain Service og klikk på Neste-knappen.

Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.

Fortsett å klikke på Neste-knappen til du kommer til det siste skjermbildet.

Klikk på Installer-knappen på bekreftelsesskjermbildet.

Vent Active directory-installasjonen for å fullføre.

Åpne Serverbehandling-programmet.

Klikk på menyen for gult flagg og velg alternativet for å forfremme denne serveren til en domenekontroller

Velg alternativet For å Legge til en ny skog og angi et rotdomenenavn.

I vårt eksempel opprettet vi et nytt domene med navnet: TECH. Lokale.

Skriv inn et passord for å sikre Active Directory-gjenopprettingen.

Klikk neste-knappen på DNS-alternativskjermbildet.

Kontroller Netbios-navnet som er tilordnet domenet ditt, og klikk på Neste-knappen.

Klikk på Neste-knappen.

Se gjennom konfigurasjonsalternativene og klikk på Neste-knappen.

På skjermbildet Forutsetninger Sjekk klikker du på Installer-knappen.

Vent Active Directory-konfigurasjonen for å fullføre.

Når Active directory-installasjonen er fullført, starter datamaskinen på nytt automatisk

Du har fullført Active Directory-konfigurasjonen på Windows-serveren.

PFSense - Testing av LDAP over SSL-kommunikasjon

Vi må teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.

Åpne startmenyen på domenekontrolleren, og søk etter LDP-programmet.

La oss først teste om domenekontrolleren tilbyr LDAP-tjenesten på port 389.

Åpne Tilkobling-menyen, og velg alternativet Koble til.

Prøv å koble til localhost ved hjelp av TCP-port 389.

Du bør kunne koble til LDAP-tjenesten på localhost-porten 389.

Nå må vi teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.

Åpne et nytt LDP-programvindu, og prøv å koble til localhost ved hjelp av TCP-port 636.

Merk av for SSL og klikk på Ok knapp.

Hvis systemet viser en feilmelding, tilbyr domenekontrolleren ikke LDAPS-tjenesten ennå.

For å løse dette, skal vi installere en Windows sertifiseringsinstans på neste del av denne opplæringen.

Hvis du kunne koble til localhost på port 636 ved hjelp av SSL-kryptering, kan du hoppe over neste del av denne opplæringen.

Opplæring - Installasjon av sertifiseringsinstanser i Windows

Vi må installere Windows-sertifiseringsinstanstjenesten.

Den lokale sertifiseringsinstansen vil gi domenekontrolleren et sertifikat som gjør det mulig for LDAPS-tjenesten å fungere på TCP-port 636.

Åpne Serverbehandling-programmet.

Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.

Åpne skjermbildet Serverrolle, velg Active Directory Certificate Services og klikk på Neste-knappen.

windows certification authority installation

Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.

active directory certificate service

Fortsett å klikke på Neste-knappen til du kommer til skjermbildet for rolletjeneste.

Aktiver alternativet kalt Sertifiseringsinstans og klikk på Neste-knappen.

Windows server 2012 Certification authority install

Klikk på Installer-knappen på bekreftelsesskjermbildet.

Windows ca confirmation screen

Vent installasjonen av sertifiseringsinstansen for å fullføre.

Windows 2012 R2 certification authority installation

Åpne Serverbehandling-programmet.

Klikk på menyen for gult flagg og velg alternativet: Konfigurere Active Directory Certificate Services

certification authority post deployment

Klikk neste-knappen på legitimasjonsskjermen.

Velg alternativet Sertifiseringsinstans og klikk på Neste-knappen.

Windows certification authority role service

Velg Enterprise CA alternativet og klikk på Neste knapp.

windows enterprise ca

Velg alternativet Opprett en ny privat nøkkel og klikk på Neste knapp.

windows ca new private key

Behold standard kryptografikonfigurasjon og klikk på Neste-knappen.

windows cryptography for ca

Angi et vanlig navn til sertifiseringsinstansen, og klikk på Neste-knappen.

I vårt eksempel angir vi fellesnavnet: TECH-CA

Windows CA name configuration

Angi gyldighetsperioden for Sertifiseringsinstans for Windows.

Windows CA validity period

Behold standard databaseplassering for Windows-sertifiseringsinstans.

windows certificate database

Bekreft sammendraget og klikk på Konfigurer-knappen.

Windows Ca installation summary

Vent til installasjonen av Sertifiseringsinstans for Windows-serveren er fullført.

Windows cs authority results

Når du har fullført installasjonen av sertifiseringsinstansen, starter du datamaskinen på nytt.

Du er ferdig med installasjonen av Windows sertifiseringsinstans.

PFSense - Testing av LDAP over SSL-kommunikasjon igjen

Vi må teste om domenekontrolleren tilbyr LDAP over SSL-tjenesten på port 636.

Når sertifiseringsinstansinstallasjonen er fullført, venter du i 5 minutter og starter domenekontrolleren på nytt.

Under oppstartstiden vil domenekontrolleren automatisk be om et serversertifikat fra den lokale sertifiseringsinstansen.

Når du har fått serversertifikatet, vil domenekontrolleren begynne å tilby LDAP-tjenesten over SSL på 636-porten.

Åpne startmenyen på domenekontrolleren, og søk etter LDP-programmet.

Åpne Tilkobling-menyen, og velg alternativet Koble til.

Prøv å koble til localhost ved hjelp av TCP-port 636.

Merk av for SSL og klikk på Ok knapp.

Prøv å koble til localhost ved hjelp av TCP-port 636.

Merk av for SSL og klikk på Ok knapp.

Denne gangen skal du kunne koble til LDAP-tjenesten på localhost-porten 636.

Hvis du ikke kan koble til port 636, starter du datamaskinen på nytt og venter 5 minutter mer.

Det kan ta en gang før domenekontrolleren mottar sertifikatet som er forespurt fra sertifiseringsinstansen.

Opplæring - Brannmur for Windows-domenekontroller

Vi må opprette en brannmurregel på Windows-domenekontrolleren.

Denne brannmurregelen tillater Pfsense-serveren å spørre Active Directory-databasen.

Åpne programmet windows-brannmur med avansert sikkerhet på domenekontrolleren

Opprett en ny innkommende brannmurregel.

Velg PORT-alternativet.

Velg TCP-alternativet.

Velg alternativet Bestemte lokale porter.

Angi TCP-port 636.

Velg alternativet Tillat tilkoblingen.

Merk av for DOMENE.

Merk av for PRIVAT.

Merk av for OFFENTLIG.

Skriv inn en beskrivelse i brannmurregelen.

Gratulerer, du har opprettet den nødvendige brannmurregelen.

Denne regelen tillater Pfsense å spørre Active directory-databasen.

Opplæring - Klargjøre PFSense LDAPS-kommunikasjonen

Åpne PFsense-konsollmenyen og velg alternativnummer 8 for å få tilgang til kommandolinjen.

Bruk følgende kommando til å teste LDAPS-kommunikasjonen.

Det vil prøve å få en kopi av domenekontrollersertifikatet.

Copy to Clipboard

Husk at du må endre IP-adressen ovenfor til domenekontrolleren.

Systemet skal vise en kopi av domenekontrollersertifikatet.

Copy to Clipboard

PFsense-brannmuren må kunne kommunisere med domenekontrolleren ved hjelp av DNS-navnet. (FQDN)

Pfsense kan bruke domenekontrolleren som en DNS-server for å kunne oversette TECH-DC01. Tech. LOKAL til IP-adressen 192.168.15.10.

Bruk PING-kommandoen til å kontrollere om PFsense-brannmuren kan oversette vertsnavnet til IP-adresse.

Copy to Clipboard

I vårt eksempel var Pfsense-brannmuren i stand til å oversette TECH-DC01. Tech. LOKALT vertsnavn til 192.168.15.10.

Opplæring - Oppretting av Windows-domenekonto

Deretter må vi opprette minst 2 kontoer i Active Directory-databasen.

ADMIN-kontoen vil bli brukt til å logge inn på Pfsense-webgrensesnittet.

BIND-kontoen brukes til å spørre Active Directory-databasen.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny konto i brukerbeholderen.

Opprett en ny konto med navnet: admin

Passord konfigurert til ADMIN bruker: 123qwe..

Denne kontoen vil bli brukt til å autentisere som admin på Pfsense web-grensesnittet.

Opprett en ny konto med navnet: bind

Passord konfigurert til BIND-brukeren: 123qwe..

Denne kontoen brukes til å spørre passordene som er lagret i Active Directory-databasen.

Gratulerer, du har opprettet de nødvendige Active Directory-kontoene.

Opplæring - Oppretting av Windows-domenegrupper

Deretter må vi opprette minst 1 gruppe i Active directory-databasen.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny gruppe i brukerbeholderen.

Opprett en ny gruppe med navnet: pfsense-admin

Medlemmer av denne gruppen vil ha Admin tillatelse på PFsense web-grensesnittet.

Viktig! Legg til administratorbrukeren som medlem av pfsense-admin-gruppen.

Gratulerer, du har opprettet den nødvendige Active Directory-gruppen.

PFSense – PFSense LDAPS-godkjenning i Active Directory

Åpne en nettleserprogramvare, skriv inn IP-adressen til Pfsense-brannmuren din og få tilgang til webgrensesnittet.

I vårt eksempel ble følgende URL skrevet inn i nettleseren:

• https://192.168.15.11

Pfsense-webgrensesnittet bør presenteres.

Skriv inn inn påloggingsinformasjonen pfsense standardpassord på ledetekstskjermen.

• Brukernavn: admin
• Passord: pfsense

Etter en vellykket innlogging, vil du bli sendt til Pfsense Dashboard.

Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.

I skjermbildet Brukerbehandling åpner du kategorien Godkjenningsservere og klikker på Legg til-knappen.

Utfør følgende konfigurasjon i serverinnstillingsområdet:

• Description name: ACTIVE DIRECTORY
• Type: LDAP

Utfør følgende konfigurasjon i området LDAP Server:

• Vertsnavn eller IP-adresse - TECH-DC01. Tech. Lokale
• Port verdi - 636
• Transport - SSL - Kryptert
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

Du må endre TECH-DC01.TECH.LOCAL til domenekontrollerens vertsnavn.

Du må endre domeneinformasjonen for å gjenspeile nettverksmiljøet.

Du må endre bind-legitimasjonen for å gjenspeile nettverksmiljøet.

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

I vårt eksempel konfigurerte vi Ldap-serverautentiseringen på PFSense firewal.

PFSense – Testing av Active Directory-godkjenning

Åpne Pfsense Diagnostics-menyen, og velg autentiseringsalternativet.

Velg Active directory-godkjenningsserveren.

Skriv inn Admin brukernavn, passord og klikk på Test knapp.

Hvis testen lykkes, bør du se følgende melding.

Gratulerer! PFsense LDAPS-serverautentiseringen på Active Directory ble vellykket konfigurert.

PFSense – tillatelse fra Active Directory-gruppen

Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.

I skjermbildet Brukerbehandling åpner du kategorien Grupper og klikker på Legg til-knappen.

Utfør følgende konfigurasjon på skjermbildet Gruppeoppretting:

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

Klikk på Lagre-knappen, du vil bli sendt tilbake til gruppekonfigurasjonsskjermen.

Nå må du redigere tillatelsene til pfsense-admin-gruppen.

Finn området Tilordnede rettigheter på pfsense-admin-gruppeegenskapene, og klikk på Legg til-knappen.

Utfør følgende konfigurasjon i grupperettighetsområdet:

• Assigned privileges - WebCfg - All pages

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

PFSense – Aktivere Active Directory-godkjenning

Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.

Åpne kategorien Innstillinger i brukerbehandling-skjermen.

Velg Active directory-godkjenningsserveren på Innstillinger-skjermbildet.

Klikk på Lagre og test-knappen.

Etter at du har fullført konfigurasjonen, bør du logge av Pfsense-webgrensesnittet.

Prøv å logge på ved hjelp av administratorbrukeren og passordet fra Active Directory-databasen.

Bruk administratorbrukeren og passordet fra Active Directory-databasen på påloggingsskjermen.

• Brukernavn: admin
• Passord: Skriv inn Active Directory-passordet.

Gratulerer! Du har konfigurert PFSense-godkjenning til å bruke Active Directory-databasen.