Vill du lära dig hur du konfigurerar OPNsense LDAP-autentisering på Active directory? I den här självstudien ska vi visa dig hur du autentiserar OPNsense-användare med hjälp av Active directory-databasen från Microsoft Windows och LDAP-protokollet.

• OPNsense 19.7

Utrustning lista

I följande avsnitt presenteras listan över utrustning som används för att skapa den här självstudien.

Som en Amazon Associate, jag tjänar från kvalificerade inköp.

Självstudiekurs – Windows-domänkontrollantens brandvägg

Först måste vi skapa en brandväggsregel på Windows-domänkontrollanten.

Den här brandväggsregeln kommer att tillåta opnsense-servern att fråga Active directory-databasen.

Öppna programmet med namnet Windows-brandväggen med avancerad säkerhet på domänkontrollanten

Skapa en ny brandväggsregel för Inkommande.

Välj alternativet PORT.

Välj TCP-alternativet.

Välj alternativet Specifika lokala portar.

Ange TCP-porten 389.

Markera alternativet Tillåt anslutningen.

Kontrollera alternativet DOMAIN.

Kontrollera alternativet PRIVAT.

Kontrollera alternativet OFFENTLIG.

Ange en beskrivning till brandväggsregeln.

Grattis, du har skapat den nödvändiga brandväggsregeln.

Den här regeln kommer att tillåta Opnsense att fråga Active directory-databasen.

Självstudiekurs – Skapande av Windows-domänkonto

Därefter måste vi skapa minst 2 konton på Active directory-databasen.

ADMIN-kontot kommer att användas för inloggning på Opnsense webbgränssnitt.

BIND-kontot kommer att användas för att fråga Active Directory-databasen.

Öppna programmet med namnet på domänkontrollanten: Active Directory - användare och datorer

Skapa ett nytt konto inuti behållaren Användare.

Skapa ett nytt konto med namnet: admin

Lösenord som konfigurerats till ADMIN-användaren: 123qwe..

Detta konto kommer att användas för att autentisera som admin på Opnsense webbgränssnitt.

Skapa ett nytt konto med namnet: binda

Lösenord som konfigurerats till BIND-användaren: 123qwe..

Det här kontot kommer att användas för att fråga lösenorden som lagras på Active Directory-databasen.

Grattis, du har skapat de nödvändiga Active Directory-kontona.

OPNsense - OPNsense LDAP-autentisering på Active Directory

Öppna en webbläsare programvara, ange IP-adressen till din Opnsense brandvägg och få tillgång till webbgränssnitt.

I vårt exempel angavs följande webbadress i Webbläsaren:

• https://192.168.15.11

Opnsense webbgränssnittet bör presenteras.

På promptskärmen anger du inloggningsinformationen för OPNsense-standardlösenord.

• Användarnamn: root
• Lösenord: Lösenord inställd under OPNsense installationen

Efter en lyckad inloggning skickas du till OPNSense Dashboard.

Få åtkomst till Opnsense System-menyn, få tillgång till undermenyn Access och välj alternativet Servrar.

Klicka på lägg till-knappen och utför följande konfiguration.

• Beskrivande namn: LDAP
• Type: LDAP
• Hostname eller IP-adress - 34.212.170.252
• Port value - 389
• Transport - TCP Standard
• Protokoll Version - 3
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind referenser Lösenord - 123qwe.
• Sökomfång - Hela Subtree
• Bas DN - DC=tech,DC=lokal
• Autentiseringsbehållare - CN=Användare,DC=TECH,DC=LOKAL
• Initial Template - Microsoft AD
• Attributet namngivning av användare - sAMAccountName
• Läs egenskaper
• Synkronisera grupper
• Begränsa grupper

Du behöver ändra IP-adressen till din domänkontrollant-IP.

Du behöver ändra domäninformationen för att återspegla din Nätverksmiljö.

Du behöver ändra autentiseringsuppgifterna för bindning för att återspegla din Network-miljö.

Klicka på spara-knappen för att avsluta konfigurationen.

I vårt exempel konfigurerade vi LDAP-serverautentiseringen på OPNsense-brandväggen.

OPNsense - Testa LDAP-autentisering

Få åtkomst till Opnsense System-menyn, få åtkomst till undermenyn Access och välj alternativet Testare.

Välj autentiseringsserver för LDAP.

Ange Admin användarnamn, dess lösenord och klicka på knappen Test.

Om testet lyckas bör du se följande meddelande.

Grattis! Din OPNsense LDAP-autentisering på Active directory konfigurerades sucessfully.

OPNsense - Behörighet för LDAP-grupp

Få åtkomst till Opnsense System-menyn, få tillgång till undermenyn Access och välj alternativet Grupper.

Lägg till en ny lokal grupp på OPNsense-brandväggen.

Utför följande konfiguration på skärmen Skapa grupp:

• Gruppens namn - opnsense-admins
• Beskrivning - Ldap-gruppen
• Medlem av - valfritt du får lägga till root användarkontot.

Klicka på Spara-knappen, du kommer att skickas tillbaka till skärmen Gruppkonfiguration.

Nu måste du redigera behörigheterna för gruppen opnsense-admins.

På gruppegenskaperna för opnsense-admins letar du reda på området Tilldelade privilegier och klickar på knappen Lägg till.

På området Gruppbehörighet utför du följande konfiguration:

• Tilldelade privilegier - GUI - ALLA sidor

Klicka på spara-knappen för att avsluta konfigurationen.

OPNsense - LDAP Användarbehörighet

OPNsense kräver att alla Ldap-användarkonton finns på den lokala databasen för att utföra korrekt auktoriseringskonfiguration.

Vi ska lägga till admin användarkontot i den lokala databasen.

Vi ska konfigurera det lokala kontot som heter admin-medlem i gruppen opnsense-admins.

Få åtkomst till Opnsense System-menyn, få åtkomst till undermenyn Access och välj alternativet Användare.

Lägg till ett nytt lokalt användarkonto med samma användarnamn från Active directory-kontot.

Gör den här användarkontot medlem av gruppen opnsense-admins.

Klicka på spara-knappen för att avsluta konfigurationen.

OPNsense - Aktivera LDAP-autentiseringen

Få åtkomst till Opnsense System-menyn, få tillgång till undermenyn Inställningar och välj alternativet Administration .

Leta upp autentiseringsområdet, välj LDAP-autentiseringen och klicka på knappen Spara.

Välj valfritt den lokala databasen som andra autentiseringsmetod.

Efter avslutad din konfiguration bör du logga ut opnsense webbgränssnitt.

Försök att logga in med hjälp av admin-användaren och lösenordet från Active Directory-databasen.

På inloggningsskärmen använder du adminanvändaren och lösenordet från Active Directory-databasen.

• Användarnamn: admin
• Lösenord: Ange Active directory-lösenordet.

Grattis! Du har konfigurerat OPNsense-autentiseringen så att den använder Active directory-databasen med hjälp av LDAP.