Vill du lära dig hur du konfigurerar PFsense Active directory-autentiseringen med Hjälp av Radius? I den här självstudien ska vi visa dig hur du autentiserar PFSense-användare på Active Directory-databasen med radius-protokollet.

• Pfsense 2.4.4-p3
• Windows 2012 R2

PFsense Relaterade handledning:

På den här sidan erbjuder vi snabb tillgång till en lista över självstudiekurser relaterade till pfSense.

Självstudie – Radius Server-installation i Windows

• IP – 192.168.15.10.
• Operacional System – Windows 2012 R2
• Hostname – TECH-DC01
• Active Directory Domain: TECH.LOCAL

Öppna serverhanterarens program.

Få tillgång till Hantera-menyn och klicka på Lägg till roller och funktioner.

Få åtkomst till skärmen Serverroller, välj alternativet Nätverksprincip och Åtkomsttjänst.

Klicka på knappen Nästa.

På följande skärm klickar du på knappen Lägg till funktioner.

På rolltjänstskärmen klickar du på Nästa knapp.

På nästa skärm, klicka på knappen Installera.

Du har avslutat Radius-serverinstallationen på Windows 2012.

Självstudierad radius-server – Active Directory-integrering

Därefter måste vi skapa minst 1 konto på Active directory-databasen.

ADMIN-kontot kommer att användas för att logga in på Webbgränssnittet i Pfsense.

Öppna programmet med namnet på domänkontrollanten: Active Directory – användare och datorer

Skapa ett nytt konto inuti behållaren Användare.

Skapa ett nytt konto med namnet: admin

Lösenord som konfigurerats till ADMIN-användaren: 123qwe..

Detta konto kommer att användas för att autentisera som admin på Pfsense webbgränssnitt.

Grattis, du har skapat de nödvändiga Active Directory-kontona.

Därefter måste vi skapa minst 1 grupp på Active directory-databasen.

Öppna programmet med namnet på domänkontrollanten: Active Directory – användare och datorer

Skapa en ny grupp inuti behållaren Användare.

Skapa en ny grupp med namnet: pfsense-admin

Medlemmar i den här gruppen kommer att ha admin-behörigheten på webbgränssnittet PFsense.

Viktigt! Lägg till admin-användaren som medlem i gruppen pfsense-admin.

Grattis, du har skapat den nödvändiga Active Directory-gruppen.

Självstudiekurs – Windows-domänkontrollantens brandvägg

Vi måste skapa en brandväggsregel på Windows-domänkontrollanten.

Den här brandväggsregeln kommer att tillåta att Pfsense-servern frågar Active Directory-databasen.

Öppna programmet med namnet Windows-brandväggen med avancerad säkerhet på domänkontrollanten

Skapa en ny brandväggsregel för Inkommande.

Välj alternativet PORT.

Välj TCP-alternativet.

Välj alternativet Specifika lokala portar.

Ange TCP-porten 636.

Markera alternativet Tillåt anslutningen.

Kontrollera alternativet DOMAIN.

Kontrollera alternativet PRIVAT.

Kontrollera alternativet OFFENTLIG.

Ange en beskrivning till brandväggsregeln.

Grattis, du har skapat den nödvändiga brandväggsregeln.

Den här regeln kommer att göra det möjligt för Pfsense att fråga Active Directory-databasen.

Självstudieradieserver – Lägg till klientenheter

Öppna programmet med namnet på Radius-servern: Network Policy Server

Du behöver auktorisera Radius-servern på Active directory-databasen.

Högerklicka på NPS(LOCAL) och välj alternativet Registrera servern i Active Directory.

På bekräftelseskärmen klickar du på KNAPPEN OK.

Därefter måste du konfigurera Radius-klienter.

RADIUS-klienter är enheter som kommer att tillåtas att begära autentisering från Radius-servern.

Viktigt! Förväxla inte Radius-klienter med Radius-användare.

Högerklicka på Radius Clients-mappen och välj alternativet Nytt.

Här är ett exempel på en Klient som konfigurerats för att tillåta en Pfsense-brandväggen att ansluta till Radius-servern.

Du behöver ställa in följande konfiguration:

• Eget namn på enheten – Lägg till en beskrivning till dig Pfsense
• Enhetens IP-adress – IP-adress till din PFsense-brandvägg
• Enhet Delad hemlighet – kamisama123

Hemligheten Delade kommer att användas för att auktorisera enheten att använda Radius-servern.

Du har avslutat radius-klientkonfigurationen.

Självstudierad radius-server – konfigurera en nätverksprincip

Nu måste du skapa en Network Polity för att tillåta autentisering.

Högerklicka på mappen Nätverksprinciper och välj alternativet Nytt.

Ange ett namn till nätverkspolicyn och klicka på knappen Nästa.

Klicka på knappen Lägg till villkor.

Vi kommer att tillåta medlemmar i PFSENSE-ADMIN-gruppen att autentisera.

Välj alternativet Användargrupp och klicka på knappen Lägg till.

Klicka på knappen Lägg till grupper och leta reda på gruppen PFSENSE-ADMIN.

Välj alternativet Access som beviljats och klicka på knappen Nästa.

Detta gör att medlemmar i gruppen PFSENSE-ADMIN kan autentiseras på Radius-servern.

På skärmen Autentiseringsmetoder väljer du alternativet Okrypterad autentisering (PAP, SPAP).

Om följande varning presenteras, klicka på Nej knappen.

På konfigurationsskärmen för Radius väljer du alternativet Standardradieattribut och klickar på knappen Lägg till

Välj attributet Class och klicka på knappen Lägg till.

Välj alternativet Sträng och ange tio namn på den Aktiva grupp som vi skapade tidigare.

I vårt exempel skapade vi en Active Directory-grupp med namnet PFSENSE-ADMIN.

NPS Radius-servern kommer att skicka tillbaka klassinformationen till PFsense-brandväggen.

Pfsense-brandväggen kommer att använda klassinformationen för att ställa in användaren som medlem i gruppen pfsense-admin.

Tänk på att gruppen pfsense-admin måste finnas på active directory och även på Pfsense-brandväggen.

Verifiera radius-serverns konfigurationssammanfattning och klicka på knappen Slutför.

Grattis! Du har avslutat Radius-serverkonfigurationen.

PFSense – PFSense-radieautentisering på Active Directory

Öppna en webbläsare programvara, ange IP-adressen till din Pfsense brandvägg och tillgång webbgränssnitt.

I vårt exempel angavs följande webbadress i Webbläsaren:

• https://192.168.15.11

Webbgränssnittet Pfsense bör presenteras.

På skärmen med uppmaning anger du inloggningsinformationen för Pfsense Standardlösenord.

• Användarnamn: admin
• Lösenord: pfsense

Efter en lyckad inloggning kommer du att skickas till Pfsense Dashboard.

Få åtkomst till Pfsense System-menyn och välj alternativet Användarhanterare.

På user manager-skärmen kommer du åt fliken Authentications servers och klickar på knappen Lägg till.

På server-inställningsområdet utför du följande konfiguration:

• Description name: ACTIVE DIRECTORY
• Typ: RADIUS

Utför följande konfiguration på RADIUS Server-inställningsområdet:

• Protokoll – PAP
• Hostname or IP address – 192.168.15.10
• Delad hemlighet – Radieklienten delad hemlighet (kamisama123)
• Erbjudna tjänster – Autentisering och redovisning
• AutentiseringSport – 1812
• Acconting Port – 1813
• Timeout för autentisering – 5

Du måste ändra IP-adress för Radius-servern.

Du måste ändra Shared hemligheten för att återspegla din Radius-klient delad hemlighet.

Klicka på spara-knappen för att avsluta konfigurationen.

I vårt exempel konfigurerade vi Radius-serverautentiseringen på PFSense-brandväggen.

PFSense-radie – Testa Active Directory-autentisering

Få åtkomst till Pfsense-diagnostik-menyn och välj alternativet Autentisering.

Välj Active directory-autentiseringsservern.

Ange Admin användarnamn, dess lösenord och klicka på knappen Test.

Om testet lyckas bör du se följande meddelande.

Grattis! Din PFsense Radius-serverautentisering på Active Directory konfigurerades på ett sucessfully.

PFSense – Behörighet för Active Directory-gruppen

Få åtkomst till Pfsense System-menyn och välj alternativet Användarhanterare.

På user manager-skärmen kommer du åt fliken Grupper och klickar på knappen Lägg till.

Utför följande konfiguration på skärmen Skapa grupp:

• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group

Klicka på Spara-knappen, du kommer att skickas tillbaka till skärmen Gruppkonfiguration.

Nu måste du redigera behörigheterna för gruppen pfsense-admin.

På gruppegenskaperna för PFSENSE-Admin letar du reda på området Tilldelade privilegier och klickar på knappen Lägg till.

På området Gruppbehörighet utför du följande konfiguration:

• Assigned privileges – WebCfg – All pages

Klicka på spara-knappen för att avsluta konfigurationen.

PFSense – Aktivera Active Directory-autentiseringen

Få åtkomst till Pfsense System-menyn och välj alternativet Användarhanterare.

På skärmen User manager kommer du åt fliken Inställningar.

På skärmen Inställningar väljer du autentiseringsservern för Active Directory.

Klicka på knappen Spara och testa.

Efter avslutad din konfiguration bör du logga ut pfsense webbgränssnitt.

Försök att logga in med hjälp av admin-användaren och lösenordet från Active Directory-databasen.

På inloggningsskärmen använder du adminanvändaren och lösenordet från Active Directory-databasen.

• Användarnamn: admin
• Lösenord: Ange Active directory-lösenordet.

Grattis! Du har konfigurerat PFSense-autentiseringen så att den använder Active Directory-databasen.