Хотите узнать, как настроить аутентификацию PFsense LDAP в Active Directory? В этом руководстве мы покажем вам, как аутентифицировать пользователей PFSense, используя базу данных Active Directory из Microsoft Windows и протокол LDAP.

• Pfsense 2.4.4-p3

Учебник - Брандмауэр контроллера домена Windows

Во-первых, нам нужно создать правило брандмауэра на контроллере домена Windows.

Это правило брандмауэра позволит серверу Pfsense запрашивать базу данных Active Directory.

На контроллере домена откройте приложение с именем «Брандмауэр Windows в режиме повышенной безопасности».

Создайте новое правило для входящего брандмауэра.

zabbix active directory

Выберите опцию ПОРТ.

zabbix windows firewall port

Выберите опцию TCP.

Выберите опцию Определенные локальные порты.

Введите порт TCP 389.

zabbix windows firewall port ldap

Выберите опцию Разрешить соединение.

zabbix windows firewall allow connection

Проверьте опцию ДОМЕН.

Проверьте частную опцию.

Проверьте опцию PUBLIC.

Zabbix windows firewall profile

Введите описание для правила брандмауэра.

windows firewall active directory

Поздравляем, вы создали необходимое правило брандмауэра.

Это правило позволит Pfsense запрашивать базу данных Active Directory.

Учебник - Создание учетной записи домена Windows

Далее нам нужно создать как минимум 2 учетные записи в базе данных Active Directory.

Учетная запись ADMIN будет использоваться для входа в веб-интерфейс Pfsense.

Учетная запись BIND будет использоваться для запроса базы данных Active Directory.

На контроллере домена откройте приложение с именем: Active Directory - пользователи и компьютеры.

Создайте новую учетную запись внутри контейнера Users.

Zabbix active directory account

Создайте новый аккаунт с именем: admin

Пароль, настроенный для пользователя ADMIN: 123qwe ..

Эта учетная запись будет использоваться для аутентификации в качестве администратора в веб-интерфейсе Pfsense.

active directory admin accountzabbix active directory admin properties

Создайте новый аккаунт с именем: bind

Пароль, настроенный для пользователя BIND: 123qwe ..

Эта учетная запись будет использоваться для запроса паролей, хранящихся в базе данных Active Directory.

active directory bind accountzabbix active directory ldap bind properties

Поздравляем, вы создали необходимые учетные записи Active Directory.

Учебник - Создание доменной группы Windows

Далее нам нужно создать как минимум 1 группу в базе данных Active Directory.

На контроллере домена откройте приложение с именем: Active Directory - пользователи и компьютеры.

Создайте новую группу внутри контейнера Users.

Grafana active directory group

Создайте новую группу с именем: pfsense-admin

Члены этой группы будут иметь разрешение администратора на веб-интерфейсе PFsense.

pfsense active directory group

Важный! Добавьте пользователя с правами администратора в качестве члена группы pfsense-admin.

pfsense active directory admin group

Поздравляем, вы создали необходимую группу Active Directory.

PFSense - PFSense LDAP-аутентификация в Active Directory

Откройте программное обеспечение браузера, введите IP-адрес вашего брандмауэра Pfsense и получите доступ к веб-интерфейсу.

В нашем примере в браузере был введен следующий URL:

• https://192.168.15.11

Должен быть представлен веб-интерфейс Pfsense.

Pfsense login

На экране подсказки введите данные для входа в Pfsense Default Password.

• Имя пользователя: admin
• Пароль: pfsense

После успешного входа вы будете отправлены на панель управления Pfsense.

Pfsense dashboard

Войдите в меню системы Pfsense и выберите опцию «Диспетчер пользователей».

pfsense user manager menu

На экране диспетчера пользователей перейдите на вкладку Серверы аутентификаций и нажмите кнопку Добавить.

pfsense authentication servers

В области «Настройки сервера» выполните следующую настройку:

• Название описания: АКТИВНЫЙ КАТАЛОГ
• Тип: LDAP

В области настроек Сервера LDAP выполните следующую настройку:

• Имя хоста или IP-адрес - 192.168.15.10
• Стоимость порта - 389
• Транспорт - TCP - Стандарт
• версия протокола - 3
• Тайм-аут сервера - 25
• Область поиска - все поддерево
• Базовое DN - dc = tech, dc = local
• Контейнеры аутентификации - CN = Users, DC = tech, DC = local
• Расширенный запрос - отключен
• Привязать анонимно - отключено
• Учетные данные привязки - CN = привязка, CN = пользователи, DC = технология, DC = локально
• Пароль учетных данных Bind - пароль учетной записи пользователя BIND.
• Исходный шаблон - Microsoft AD
• Атрибут имени пользователя - samAccountName
• атрибут именования групп - cn
• Атрибут члена группы - memberOf
• RFC 2307 группы - отключено
• Класс объекта группы - posixGroup
• Кодировка UTF8 - отключена
• Изменения имени пользователя - отключено

Вам нужно изменить IP-адрес на IP-адрес вашего контроллера домена.

Вам необходимо изменить информацию о домене, чтобы она отражала вашу сетевую среду.

Вам необходимо изменить учетные данные привязки, чтобы они отражали вашу сетевую среду.

Pfsense ldap server settingsPfsense active directory settings

Нажмите на кнопку Сохранить, чтобы завершить настройку.

В нашем примере мы настраиваем аутентификацию сервера Ldap на брандмауэре PFSense.

PFSense - тестирование аутентификации Active Directory

Войдите в меню диагностики Pfsense и выберите опцию аутентификации.

pfsense diagnostics authentication

Выберите сервер аутентификации Active Directory.

Введите имя пользователя Admin, его пароль и нажмите на кнопку Test.

pfsense ldap authentication test

Если ваш тест пройден успешно, вы должны увидеть следующее сообщение.

pfsense active directory login test

Поздравляем! Проверка подлинности вашего сервера PFsense LDAP в Active Directory была успешно настроена.

PFSense - разрешение группы Active Directory

Войдите в меню системы Pfsense и выберите опцию «Диспетчер пользователей».

pfsense user manager menu

На экране диспетчера пользователей перейдите на вкладку Группы и нажмите кнопку Добавить.

pfsense group manager

На экране создания группы выполните следующую настройку:

• Название группы - pfsense-admin
• Область применения - Дистанционное
• Описание - группа Active Directory

Нажмите на кнопку Сохранить, и вы вернетесь обратно к экрану конфигурации группы.

pfsense group creation

Теперь вам нужно отредактировать права доступа группы pfsense-admin.

В свойствах группы pfsense-admin найдите область «Назначенные привилегии» и нажмите кнопку «Добавить».

В области привилегий группы выполните следующую настройку:

• Назначенные привилегии - WebCfg - Все страницы

pfsense active directory group permission

Нажмите на кнопку Сохранить, чтобы завершить настройку.

PFSense - включить аутентификацию Active Directory

Войдите в меню системы Pfsense и выберите опцию «Диспетчер пользователей».

pfsense user manager menu

На экране диспетчера пользователей перейдите на вкладку «Настройки».

pfsense authentication settings menu

На экране настроек выберите сервер аутентификации Active Directory.

Нажмите на кнопку Сохранить и проверить.

pfsense active directory authentication settings

После завершения настройки вы должны выйти из веб-интерфейса Pfsense.

Попробуйте войти в систему, используя имя администратора и пароль из базы данных Active Directory.

На экране входа в систему используйте пользователя с правами администратора и пароль из базы данных Active Directory.

• Имя пользователя: Admin
• Пароль: введите пароль Active Directory.

Pfsense login

Поздравляем! Вы настроили аутентификацию PFSense для использования базы данных Active Directory.