Vil du lære hvordan du konfigurerer PFsense Active directory-godkjenning ved hjelp av Radius? I denne opplæringen skal vi vise deg hvordan du godkjenner PFSense-brukere på Active Directory-databasen ved hjelp av Radius-protokollen.

• Pfsense 2.4.4-p3
• Windows 2012 R2

Opplæring – Radius Server-installasjon på Windows

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL

Åpne Serverbehandling-programmet.

Åpne Administrer-menyen og klikk på Legg til roller og funksjoner.

Åpne skjermbildet Serverroller, velg alternativet Nettverkspolicy og Access Service.

Klikk på Neste-knappen.

Klikk på Legg til funksjoner-knappen på det følgende skjermbildet.

Klikk neste knapp på rolletjenesteskjermbildet.

På neste skjermbilde klikker du på Installer-knappen.

Du er ferdig med installasjonen av Radius-serveren i Windows 2012.

Tutorial Radius Server – Active Directory-integrasjon

Deretter må vi opprette minst 1 konto i Active directory-databasen.

ADMIN-kontoen vil bli brukt til å logge inn på Pfsense-webgrensesnittet.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny konto i brukerbeholderen.

Opprett en ny konto med navnet: admin

Passord konfigurert til ADMIN bruker: 123qwe..

Denne kontoen vil bli brukt til å autentisere som admin på Pfsense web-grensesnittet.

Gratulerer, du har opprettet de nødvendige Active Directory-kontoene.

Deretter må vi opprette minst 1 gruppe i Active directory-databasen.

Åpne programmet med navnet: Active Directory-brukere og -datamaskiner på domenekontrolleren

Opprett en ny gruppe i brukerbeholderen.

Opprett en ny gruppe med navnet: pfsense-admin

Medlemmer av denne gruppen vil ha Admin tillatelse på PFsense web-grensesnittet.

Viktig! Legg til administratorbrukeren som medlem av pfsense-admin-gruppen.

Gratulerer, du har opprettet den nødvendige Active Directory-gruppen.

Opplæring – Brannmur for Windows-domenekontroller

Vi må opprette en brannmurregel på Windows-domenekontrolleren.

Denne brannmurregelen tillater Pfsense-serveren å spørre Active Directory-databasen.

Åpne programmet windows-brannmur med avansert sikkerhet på domenekontrolleren

Opprett en ny innkommende brannmurregel.

Velg PORT-alternativet.

Velg TCP-alternativet.

Velg alternativet Bestemte lokale porter.

Angi TCP-port 636.

Velg alternativet Tillat tilkoblingen.

Merk av for DOMENE.

Merk av for PRIVAT.

Merk av for OFFENTLIG.

Skriv inn en beskrivelse i brannmurregelen.

Gratulerer, du har opprettet den nødvendige brannmurregelen.

Denne regelen tillater Pfsense å spørre Active directory-databasen.

Tutorial Radius Server – Legg til klientenheter

Åpne programmet med navnet På Radius-serveren

Du må godkjenne Radius-serveren i Active Directory-databasen.

Høyreklikk på NPS (LOCAL) og velg Registrer server i Active Directory alternativet.

Klikk på OK-knappen på bekreftelsesskjermbildet.

Deretter må du konfigurere Radius-klienter.

Radius-klienter er enheter som kan be om godkjenning fra Radius-serveren.

Viktig! Ikke forveksle Radius-klienter med Radius-brukere.

Høyreklikk på Radius Klienter mappe og velg Ny alternativet.

Her er et eksempel på en klient som er konfigurert til å tillate en Pfsense-brannmur å koble til Radius-serveren.

Du må angi følgende konfigurasjon:

• Vennlig navn på enheten – Legg til en beskrivelse til deg Pfsense
• Device IP Address – IP-adressen til PFsense-brannmuren
• Enhet Delt hemmelighet – kamisama123

Den delte hemmeligheten vil bli brukt til å autorisere enheten til å bruke Radius-serveren.

Du har fullført radiusklientkonfigurasjonen.

Tutorial Radius Server – Konfigurere en nettverkspolicy

Nå må du opprette en nettverkspolity for å tillate godkjenning.

Høyreklikk på nettverkspolicymappen og velg ny alternativet.

Skriv inn et navn på nettverkspolicyen og klikk på Neste-knappen.

Klikk på Legg til betingelse-knappen.

Vi skal tillate medlemmer av PFSENSE-ADMIN-gruppen å autentisere.

Velg brukergruppealternativet og klikk på Legg til-knappen.

Klikk på Legg til grupper-knappen og finn PFSENSE-ADMIN-gruppen.

Velg alternativet Tilgang gitt og klikk på Neste knapp.

Dette gjør det mulig for medlemmer av PFSENSE-ADMIN-gruppen å godkjenne på Radius-serveren.

I skjermbildet Godkjenningsmetoder velger du alternativet Ukryptert godkjenning (PAP, SPAP).

Hvis følgende advarsel vises, klikker du på Nei-knappen.

I skjermbildet Radiuskonfigurasjon velger du alternativet Standardradiusattributt og klikker på Legg til-knappen

Velg Klasse-attributtet, og klikk på Legg til-knappen.

Velg Streng-alternativet, og skriv inn ti navn på den aktive gruppen vi opprettet før.

I vårt eksempel opprettet vi en Active Directory-gruppe kalt PFSENSE-ADMIN.

NPS Radius-serveren vil sende klasseinformasjonen tilbake til PFsense-brannmuren.

Pfsense-brannmuren vil bruke klasseinformasjonen til å angi brukeren som medlem av pfsense-admin-gruppen.

Husk at pfsense-admin-gruppen må eksistere på active directory og også på Pfsense brannmur.

Kontroller Radius server konfigurasjon sammendrag og klikk på Finish knapp.

Gratulerer! Du er ferdig med radiusserverkonfigurasjonen.

PFSense – PFSense Radius-godkjenning på Active Directory

Åpne en nettleserprogramvare, skriv inn IP-adressen til Pfsense-brannmuren din og få tilgang til webgrensesnittet.

I vårt eksempel ble følgende URL skrevet inn i nettleseren:

• https://192.168.15.11

Pfsense-webgrensesnittet bør presenteres.

Skriv inn inn påloggingsinformasjonen pfsense standardpassord på ledetekstskjermen.

• Brukernavn: admin
• Passord: pfsense

Etter en vellykket innlogging, vil du bli sendt til Pfsense Dashboard.

Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.

I skjermbildet Brukerbehandling åpner du kategorien Godkjenningsservere og klikker på Legg til-knappen.

Utfør følgende konfigurasjon i serverinnstillingsområdet:

• Description name: ACTIVE DIRECTORY
• Type: RADIUS

Utfør følgende konfigurasjon i området RADIUS Server:

• Protokoll – PAP
• Hostname or IP address – 192.168.15.10
• Delt hemmelighet – Radius-klienten delte hemmelighet (kamisama123)
• Tjenester som tilbys – Autentisering og regnskap
• Autentisering Port – 1812
• Acconting Port – 1813
• Tidsavbrudd for godkjenning – 5

Du må endre IP-adressen til Radius-serveren.

Du må endre den delte hemmeligheten for å gjenspeile radiusklienten som er delt hemmelighet.

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

I vårt eksempel konfigurerte vi Radius-serverautentiseringen på PFSense-brannmuren.

PFSense-radius – Testing av Active Directory-godkjenning

Åpne Pfsense Diagnostics-menyen, og velg autentiseringsalternativet.

Velg Active directory-godkjenningsserveren.

Skriv inn Admin brukernavn, passord og klikk på Test knapp.

Hvis testen lykkes, bør du se følgende melding.

Gratulerer! PFsense Radius-serverautentiseringen på Active Directory ble vellykket konfigurert.

PFSense – tillatelse fra Active Directory-gruppen

Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.

I skjermbildet Brukerbehandling åpner du kategorien Grupper og klikker på Legg til-knappen.

Utfør følgende konfigurasjon på skjermbildet Gruppeoppretting:

• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group

Klikk på Lagre-knappen, du vil bli sendt tilbake til gruppekonfigurasjonsskjermen.

Nå må du redigere tillatelsene til pfsense-admin-gruppen.

Finn området Tilordnede rettigheter på pfsense-admin-gruppeegenskapene, og klikk på Legg til-knappen.

Utfør følgende konfigurasjon i grupperettighetsområdet:

• Assigned privileges – WebCfg – All pages

Klikk på Lagre-knappen for å fullføre konfigurasjonen.

PFSense – Aktivere Active Directory-godkjenning

Åpne Pfsense System-menyen, og velg Alternativet Brukerbehandling.

Åpne kategorien Innstillinger i brukerbehandling-skjermen.

Velg Active directory-godkjenningsserveren på Innstillinger-skjermbildet.

Klikk på Lagre og test-knappen.

Etter at du har fullført konfigurasjonen, bør du logge av Pfsense-webgrensesnittet.

Prøv å logge på ved hjelp av administratorbrukeren og passordet fra Active Directory-databasen.

Bruk administratorbrukeren og passordet fra Active Directory-databasen på påloggingsskjermen.

• Brukernavn: admin
• Passord: Skriv inn Active Directory-passordet.

Gratulerer! Du har konfigurert PFSense-godkjenning til å bruke Active Directory-databasen.