Gostaria de aprender a configurar a autenticação Pfsense no Active directory usando o Radius? Neste tutorial, vamos mostrar como autenticar os usuários do PFSense no banco de dados do Active Directory usando o protocolo Radius.

• Pfsense 2.4.4-p3
• Windows 2012 R2

Tutorial - Instalação do servidor radius no Windows

• IP - 192.168.15.10.
• Sistema Operacional - Windows 2012 R2
• Nome de host - TECH-DC01
• Domínio do AD: TECH.LOCAL

Abra o aplicativo Server Manager.

Acesse o menu Gerenciar e clique em Adicionar funções e recursos.

Windows 2012 add role

Acesse a tela de funções do Servidor, selecione a opção Política de Rede e Serviço de Acesso.

Clique no botão Avançar.

Network Policy and Access Service

Na tela a seguir, clique no botão Adicionar recursos.

network policy features

Na tela de serviço Role, clique no Botão Next.

network policy server

Na tela seguinte, clique no botão Instalar.

radius server installation on windows

Você terminou a instalação do servidor Radius no Windows 2012.

Tutorial Radius Server - Integração com Active directory

Em seguida, precisamos criar pelo menos 1 conta no banco de dados do Active directory.

A conta ADMIN será usada para fazer login na interface web pfsense.

No controlador de domínio, abra o aplicativo chamado: Usuários e Computadores do Active Directory.

Crie uma nova conta dentro do contêiner usuários.

Zabbix active directory account

Crie uma nova conta chamada: administração

Senha configurada para o usuário ADMIN: 123qwe..

Esta conta será usada para autenticar como administrador na interface web pfsense.

active directory admin account
zabbix active directory admin properties

Parabéns, você criou as contas necessárias do Active Directory.

Em seguida, precisamos criar pelo menos 1 grupo no Active directory.

No controlador de domínio, abra o aplicativo chamado: Usuários e Computadores do Active Directory.

Crie um novo grupo dentro do contêiner Usuários.

Grafana active directory group

Crie um novo grupo chamado: pfsense-admin

Os membros deste grupo terão a permissão de Admin na interface web PFsense.

pfsense active directory group

Importante! Adicione o usuário de admin como membro do grupo pfsense-admin.

pfsense active directory admin group

Parabéns, você criou os grupos do Active directory necessários.

Tutorial - Firewall do controlador de domínio do Windows

Precisamos criar uma regra de Firewall no controlador de domínio do Windows.

Esta regra de firewall permitirá que o servidor Pfsense consulte o banco de dados do Active Directory.

No controlador de domínio, abra o aplicativo chamado Firewall Windows com Segurança Avançada

Crie uma nova regra de firewall inbound.

zabbix active directory

Selecione a opção PORT.

zabbix windows firewall port

Selecione a opção TCP.

Selecione a opção de portas locais específicas.

Digite a porta TCP 636.

Windows firewall open port 636

Selecione a opção permitir a conexão.

zabbix windows firewall allow connection

Marque a opção DOMÍNIO.

Marque a opção PRIVADA.

Marque a opção PÚBLICO.

Zabbix windows firewall profile

Digite uma descrição da regra do firewall.

windows firewall active directory

Parabéns, você criou a regra de firewall necessária.

Essa regra permitirá que pfsense consulte o banco de dados do Active Directory.

Tutorial Radius Server - Adicionar dispositivos clientes

No servidor Radius, abra o aplicativo chamado: Servidor de Política de Rede

Você precisa autorizar o servidor Radius no Active Directory.

Clique com o botão direito de clicar em NPS(LOCAL) e selecionar o servidor De Registro na opção Active Directory.

authorize radius server on windows

Na tela de confirmação, clique no botão OK.

Em seguida, você precisa configurar clientes Radius.

Os clientes radius são dispositivos que serão autorizados a solicitar autenticação do servidor Radius.

Importante! Não confunda clientes radius com usuários do Radius.

Clique na pasta Radius Clients e selecione a nova opção.

pfsense radius client

Aqui está um exemplo de um Cliente configurado para permitir que um firewall Pfsense se conecte ao servidor Radius.

Você precisa definir a seguinte configuração:

• Nome amigável ao dispositivo - Adicione uma descrição a você Pfsense
• Endereço IP do dispositivo - endereço IP do seu firewall PFsense
• Dispositivo Compartilhado em segredo - kamisama123

O segredo compartilhado será usado para autorizar o dispositivo a usar o servidor Radius.

Você terminou a configuração do cliente Radius.

Tutorial Radius Server - Configurar uma diretiva de rede

Agora, você precisa criar uma Política de Rede para permitir a autenticação.

Clique corretamente na pasta Políticas de Rede e selecione a nova opção.

Digite um nome na política da rede e clique no botão Next.

nps - network policy name

Clique no botão Adicionar condição.

Vamos permitir que membros do grupo PFSENSE-ADMIN se autenticarem.

pfsense radius user group

Selecione a opção do grupo usuário e clique no botão Adicionar.

nps - user group condition

Clique no botão Adicionar Grupos e localizar o grupo PFSENSE-ADMIN.

pfsense admin radius group

Selecione a opção Access concedida e clique no botão Next.

Isso permitirá que os membros do grupo PFSENSE-ADMIN autenticam no servidor Radius.

NPS Access granted

Na tela métodos de autenticação, selecione a opção autenticação não criptografada (PAP, SPAP).

Radius server authentication method

Se o aviso a seguir for apresentado, clique no botão Não.

NPS Warning message

Na tela de configuração do Radius, selecione a opção de atributo de Radius padrão e clique no botão Adicionar

pfsense radius nps configure settings

Selecione o atributo de classe e clique no botão Adicionar.

pfsense radius nps class

Selecione a opção String e digite dez nomes do grupo Active que criamos antes.

Em nosso exemplo, criamos um grupo no Active directory chamado PFSENSE-ADMIN.

pfsense active directory radius attribute information

O servidor NPS Radius passará as informações de classe de volta para o firewall PFsense.

O firewall pfsense usará as informações de classe para definir o usuário como membro do grupo pfsense-admin.

Tenha em mente que o grupo pfsense-admin deve existir no Active Directory e também no firewall pfsense.

pfsense radius network policy settings nps

Verifique o resumo da configuração do servidor Radius e clique no botão Acabamento.

pfsense active directory authentication summary

Parabéns! Você terminou a configuração do servidor Radius.

PFSense - Autenticação Radius no Active Directory

Abra um software de navegador, digite o endereço IP do firewall pfsense e acesse a interface web.

Em nosso exemplo, a seguinte URL foi inserida no Navegador:

• https://192.168.15.11

A interface web pfsense deve ser apresentada.

Pfsense login

Na tela pronta, digite as informações de login da Senha Padrão pfsense.

• Username: admin
• Senha: pfsense

Depois de um login bem-sucedido, você será enviado para o Painel Pfsense.

Pfsense dashboard

Acesse o menu do Sistema Pfsense e selecione a opção gerente do Usuário.

pfsense user manager menu

Na tela do gerenciador do Usuário, acesse a guia de servidores autenticações e clique no botão Adicionar.

pfsense authentication servers

Na área de configurações do Servidor, execute a seguinte configuração:

• Nome de descrição: Active directory
• Tipo: Radius

pfsense radius authentication server

Na área de configurações do servidor RADIUS, execute a seguinte configuração:

• Protocolo - PAP
• Nome de hospedeiro ou endereço IP - 192.168.15.10
• Segredo Compartilhado - O Segredo do cliente Radius (kamisama123)
• Serviços Oferecidos - Autenticação e Contabilidade
• Porta de Autenticação - 1812
• Porta de Acconting - 1813
• Tempo de autenticação - 5

Você precisa alterar o endereço IP do servidor Radius.

Você precisa mudar o segredo compartilhado para refletir seu cliente Radius compartilhado em segredo.

pfsense radius server settings

Clique no botão Salvar para finalizar a configuração.

Em nosso exemplo, configuramos a autenticação do servidor Radius no firewall PFSense.

Radius PFSense - Testando autenticação ativa do Active Directory

Acesse o menu Pfsense Diagnostics e selecione a opção Autenticação.

pfsense diagnostics authentication

Selecione o servidor de autenticação do Active Directory.

Digite o nome de usuário do Admin, sua senha e clique no botão Teste.

pfsense ldap authentication test

Se o seu teste for bem sucedido, você deve ver a seguinte mensagem.

pfsense active directory login test

Parabéns! Sua autenticação do servidor PFsense Radius no Active Directory foi bem configurada.

PFSense - Permissão do Grupo Active Directory

Acesse o menu do Sistema Pfsense e selecione a opção gerente do Usuário.

pfsense user manager menu

Na tela do gerenciador do Usuário, acesse a guia Grupos e clique no botão Adicionar.

pfsense group manager

Na tela de criação do Grupo, execute a seguinte configuração:

• Nome de grupo - pfsense-admin
• Escopo - Controle remoto
• Descrição - Grupo do Active Directory

Clique no botão Salvar, você será enviado de volta para a tela de configuração do Grupo.

pfsense group creation

Agora, você precisa editar as permissões do grupo pfsense-admin.

Nas propriedades do grupo pfsense-admin, localize a área de Privilégios Atribuídos e clique no botão Adicionar.

Na área de privilégios do Grupo, realize a seguinte configuração:

• Privilégios atribuídos - WebCfg - Todas as páginas

pfsense active directory group permission

Clique no botão Salvar para finalizar a configuração.

PFSense - Habilitar a autenticação no Active Directory

Acesse o menu do Sistema Pfsense e selecione a opção gerente do Usuário.

pfsense user manager menu

Na tela do gerenciador do Usuário, acesse a guia Configurações.

pfsense authentication settings menu

Na tela Configurações, selecione o servidor de autenticação do Active directory.

Clique no botão Salvar e testar.

pfsense active directory authentication settings

Depois de terminar sua configuração, você deve fazer log off da interface web Pfsense.

Tente fazer login usando o usuário de administrador e a senha do banco de dados do Active Directory.

Na tela de login, use o usuário administrador e a senha do banco de dados active Directory.

• Username: admin
• Senha: Digite a senha do AD.

Pfsense login

Parabéns! Você configurou a autenticação PFSense para usar o banco de dados active Directory.