Gostaria de aprender a configurar autenticação LDAP no Active Directory do Opnsense? Neste tutorial, vamos mostrar como autenticar usuários OPNsense usando o banco de dados do Active Directory e o protocolo LDAP.

• OPNsense 19.7

Lista de equipamentos

A seção a seguir apresenta a lista de equipamentos usados para criar este tutorial.

Como associado da Amazon, eu ganho comissão por compras qualificadas.

Tutorial – Firewall do controlador de domínio do Windows

Primeiro, precisamos criar uma regra de Firewall no controlador de domínio do Windows.

Esta regra de firewall permitirá que o servidor Opnsense consultasse o banco de dados do Active Directory.

No controlador de domínio, abra o aplicativo chamado Firewall Windows com Segurança Avançada

Crie uma nova regra de firewall inbound.

zabbix active directory

Selecione a opção PORT.

zabbix windows firewall port

Selecione a opção TCP.

Selecione a opção de portas locais específicas.

Digite a porta TCP 389.

zabbix windows firewall port ldap

Selecione a opção permitir a conexão.

zabbix windows firewall allow connection

Marque a opção DOMÍNIO.

Marque a opção PRIVADA.

Marque a opção PÚBLICO.

Zabbix windows firewall profile

Digite uma descrição da regra do firewall.

windows firewall active directory

Parabéns, você criou a regra de firewall necessária.

Esta regra permitirá que a Opnsense consulte o banco de dados do Active Directory.

Tutorial – Criação de conta de domínio do Windows

Em seguida, precisamos criar pelo menos 2 contas no banco de dados do Active Directory.

A conta ADMIN será usada para fazer login na interface web opnsense.

A conta BIND será usada para consultar o banco de dados do Active Directory.

No controlador de domínio, abra o aplicativo chamado: Usuários e Computadores do Active Directory.

Crie uma nova conta dentro do contêiner usuários.

Zabbix active directory account

Crie uma nova conta chamada: administração

Senha configurada para o usuário ADMIN: 123qwe..

Esta conta será usada para autenticar como administrador na interface web opnsense.

active directory admin account
zabbix active directory admin properties

Crie uma nova conta chamada: bind

Senha configurada para o usuário BIND: 123qwe..

Esta conta será usada para consultar as senhas armazenadas no banco de dados do Active Directory.

active directory bind account
zabbix active directory ldap bind properties

Parabéns, você criou as contas necessárias do Active Directory.

OPNsense – Autenticação OPNsense LDAP no Active Directory

Abra um software de navegador, digite o endereço IP do firewall Opnsense e acesse a interface web.

Em nosso exemplo, a seguinte URL foi inserida no Navegador:

• https://192.168.15.11

A interface web opnsense deve ser apresentada.

opnsense login

Na tela pronta, digite as informações de login da OpNsense Default Password.

• Username: root
• Senha: Conjunto de senhas durante opnsense a instalação

Depois de um login bem-sucedido, você será enviado para o OPNSense Dashboard.

opnsense dashboard

Acesse o menu do Sistema Opnsense, acesse o submenu access e selecione a opção Servidores.

opnsense servers menu

Clique no botão Adicionar e execute a configuração a seguir.

• Nome descritivo: LDAP
• Tipo: LDAP
• Nome de hospedeiro ou endereço IP – 34.212.170.252
• Valor da porta – 389
• Transporte – Padrão TCP
• Versão protocolar – 3
• Credenciais de vinculação – CN=bind,CN=Users,DC=tech,DC=local
• Vincule credenciais Senha – 123qwe.
• Escopo de pesquisa – Subtree inteira
• Base DN – DC=tech,DC=local
• Recipientes de autenticação – CN=Users,DC=TECH,DC=LOCAL
• Modelo inicial – Anúncio da Microsoft
• Atributo de nomeação do usuário – sAMAccountName
• Leia propriedades
• Grupos sincronizados
• Grupos de limitação

Você precisa alterar o endereço IP para o IP do controlador de domínio.

Você precisa alterar as informações de domínio para refletir seu ambiente de Rede.

Você precisa mudar as credenciais de conexão para refletir seu ambiente de Rede.

opnsense ldap authentication

Clique no botão Salvar para finalizar a configuração.

Em nosso exemplo, configuramos a autenticação do servidor LDAP no firewall OPNsense.

OPNsense – Testando autenticação LDAP

Acesse o menu do Sistema Opnsense, acesse o submenu Access e selecione a opção Tester.

Selecione o servidor de autenticação LDAP.

Digite o nome de usuário do Admin, sua senha e clique no botão Teste.

Se o seu teste for bem sucedido, você deve ver a seguinte mensagem.

opnsense ldap authentication test

Parabéns! Sua autenticação OPNsense LDAP no Active Directory foi bem configurada.

OPNsense – Permissão do Grupo LDAP

Acesse o menu do Sistema Opnsense, acesse o submenu access e selecione a opção Grupos.

opnsense servers menu

Adicione um novo grupo local no firewall OPNsense.

Na tela de criação do Grupo, execute a seguinte configuração:

• Nome de grupo – opnsense-admins
• Descrição – Grupo Ldap
• Membro de – opcionalmente você pode adicionar a conta raiz do usuário.

Clique no botão Salvar, você será enviado de volta para a tela de configuração do Grupo.

opnsense radius group

Agora, você precisa editar as permissões do grupo opnsense-admins.

Nas propriedades do grupo opnsense-admins, localize a área de Privilégios Atribuídos e clique no botão Adicionar.

Na área de privilégios do Grupo, realize a seguinte configuração:

• Privilégios atribuídos – GUI – TODAS as páginas

opnsense group permission

Clique no botão Salvar para finalizar a configuração.

OPNsense – Permissão do Usuário LDAP

O OPNsense exige que todas as contas de usuário Ldap existam no banco de dados local para realizar a configuração de autorização adequada.

Vamos adicionar a conta de usuário administrador ao banco de dados local.

Vamos configurar a conta local chamada membro administrador do grupo opnsense-admins.

Acesse o menu do Sistema Opnsense, acesse o submenu access e selecione a opção Usuários.

opnsense servers menu

Adicione uma nova conta de usuário local usando o mesmo nome de usuário da conta do Active Directory.

opnsense radius user

Faça esta conta de usuário membro do grupo opnsense-admins.

opnsense radius user group

Clique no botão Salvar para finalizar a configuração.

OPNsense – Habilitar a autenticação LDAP

Acesse o menu do Sistema Opnsense, acesse o submenu Configurações e selecione a opção Administração.

opnsense administration menu

Localize a área de autenticação, selecione a autenticação LDAP e clique no botão Salvar.

opnsense ldap active directory

Opcionalmente, selecione o banco de dados local como o segundo método de autenticação.

Depois de terminar sua configuração, você deve fazer log off da interface web Opnsense.

Tente fazer login usando o usuário de administrador e a senha do banco de dados do Active Directory.

Na tela de login, use o usuário administrador e a senha do banco de dados active Directory.

• Username: admin
• Senha: Digite a senha do AD.

opnsense login

Parabéns! Você configurou a autenticação OPNsense para usar o banco de dados do Active directory usando LDAP.