您是否希望了解如何使用半径配置 PFsense 活动目录身份验证? 在本教程中,我们将向您展示如何使用 Radius 协议对 Active Directory 数据库上的 PFSense 用户进行身份验证。
• 普森 2.4.4-p3
• Windows 2012 R2
PFsense 相关教程:
在此页面上,我们提供快速访问与 pfSense 相关的教程列表。
教程 – 在 Windows 上安装半径服务器
• IP – 192.168.15.10。
• 操作系统 – 视窗 2012 R2
• Hostname – TECH-DC01
• 活动目录域:TECH.LOCAL
打开服务器管理器应用程序。
访问”管理”菜单并单击”添加角色和功能”。
访问服务器角色屏幕,选择”网络策略和访问服务”选项。
单击”下一步”按钮。
在以下屏幕上,单击”添加功能”按钮。
在”角色服务”屏幕上,单击”下一个”按钮。
在下一个屏幕上,单击”安装”按钮。
您已完成 Windows 2012 上的半径服务器安装。
教程半径服务器 – 活动目录集成
接下来,我们需要在 Active 目录数据库上创建至少 1 个帐户。
ADMIN 帐户将用于登录 Pfsense Web 界面。
在域控制器上,打开名为:活动目录用户和计算机的应用程序
在”用户”容器内创建新帐户。
创建新帐户命名为:管理员
密码配置为 ADMIN 用户: 123qwe.
此帐户将用于在 Pfsense Web 界面上作为管理员进行身份验证。
恭喜您,您已经创建了所需的活动目录帐户。
接下来,我们需要在 Active 目录数据库上创建至少一个组。
在域控制器上,打开名为:活动目录用户和计算机的应用程序
在”用户”容器内创建新组。
创建新的组名为:pfsense-admin
此组的成员将在 PFsense Web 界面上具有管理员权限。
重要! 将管理员用户添加为 pfsense-admin 组的成员。
恭喜您,您已创建了所需的活动目录组。
教程 – Windows 域控制器防火墙
我们需要在 Windows 域控制器上创建防火墙规则。
此防火墙规则将允许 Pfsense 服务器查询活动目录数据库。
在域控制器上,使用高级安全性打开名为 Windows 防火墙的应用程序
创建新的入站防火墙规则。
选择”端口”选项。
选择 TCP 选项。
选择”特定本地端口”选项。
输入 TCP 端口 636。
选择”允许连接”选项。
选中”域”选项。
选中”私人”选项。
选中”公共”选项。
输入防火墙规则的说明。
恭喜您,您已创建了所需的防火墙规则。
此规则将允许 Pfsense 查询活动目录数据库。
教程半径服务器 – 添加客户端设备
在 Radius 服务器上,打开名为:网络策略服务器的应用程序
您需要在活动目录数据库上授权 Radius 服务器。
右键单击 NPS(LOCAL),然后选择”活动目录”选项中的”注册服务器”。
在确认屏幕上,单击”确定”按钮。
接下来,您需要配置 Radius 客户端。
半径客户端是允许从半径服务器请求身份验证的设备。
重要! 不要将半径客户端与半径用户混淆。
右键单击”半径客户端”文件夹并选择”新建”选项。
下面是配置为允许 Pfsense 防火墙连接到 Radius 服务器的客户端的示例。
您需要设置以下配置:
• 设备名称友好 – 添加说明给您 Pfsense
• 设备 IP 地址 – PFsense 防火墙的 IP 地址
• 设备共享机密 – kamisama123
共享密钥将用于授权设备使用 Radius 服务器。
您已完成半径客户端配置。
教程半径服务器 – 配置网络策略
现在,您需要创建一个网络策略以允许身份验证。
右键单击”网络策略”文件夹并选择”新建”选项。
输入网络策略的名称,然后单击”下一步”按钮。
单击”添加条件”按钮。
我们将允许 PFSENSE-ADMIN 组的成员进行身份验证。
选择”用户组”选项,然后单击”添加”按钮。
单击”添加组”按钮并找到 PFSENSE-ADMIN 组。
选择”访问授予”选项,然后单击”下一步”按钮。
这将允许 PFSENSE-ADMIN 组的成员在 Radius 服务器上进行身份验证。
在”身份验证方法”屏幕上,选择未加密身份验证(PAP、SPAP)选项。
如果出现以下警告,请单击”否”按钮。
在”半径配置”屏幕上,选择”标准半径”属性选项,然后单击”添加”按钮
选择”类”属性,然后单击”添加”按钮。
选择”字符串”选项,然后输入我们之前创建的”活动”组的十个名称。
在我们的示例中,我们创建了一个名为 PFSENSE-ADMIN 的活动目录组。
NPS 半径服务器将类信息传回 PFsense 防火墙。
Pfsense 防火墙将使用类信息将用户设置为 pfsense-admin 组的成员。
请记住,pfsense-admin 组必须存在于活动目录上以及 Pfsense 防火墙上。
验证半径服务器配置摘要,然后单击”完成”按钮。
祝贺! 您已完成半径服务器配置。
PFSense – 活动目录上的 PFSense 半径身份验证
打开浏览器软件,输入 Pfsense 防火墙的 IP 地址并访问 Web 界面。
在我们的示例中,浏览器中输入了以下 URL:
• https://192.168.15.11
应提供 Pfsense Web 界面。
在提示屏幕上,输入 Pfsense 默认密码登录信息。
• Username: admin
• 密码: pfsense
成功登录后,您将被发送到 Pfsense 仪表板。
访问 Pfsense 系统菜单并选择”用户管理器”选项。
在”用户管理器”屏幕上,访问”身份验证服务器”选项卡并单击”添加”按钮。
在”服务器”设置区域上,执行以下配置:
• 描述名称:活动目录
• 类型: RADIUS
在 RADIUS 服务器设置区域上,执行以下配置:
• 协议 – PAP
• 主机名或 IP 地址 – 192.168.15.10
• 共享密钥 – Radius 客户端共享机密 (kamisama123)
• 提供的服务 – 身份验证和会计
• 身份验证端口 – 1812
• 阿贡廷港 – 1813
• 身份验证超时 – 5
您需要更改半径服务器的 IP 地址。
您需要更改共享密钥以反映您的 Radius 客户端共享密钥。
单击”保存”按钮以完成配置。
在我们的示例中,我们在 PFSense 防火墙上配置了 Radius 服务器身份验证。
PFSense 半径 – 测试活动目录身份验证
访问 Pfsense 诊断菜单并选择”身份验证”选项。
选择活动目录身份验证服务器。
输入管理员用户名及其密码,然后单击”测试”按钮。
如果测试成功,您应该会看到以下消息。
祝贺! 活动目录上的 PFsense 半径服务器身份验证配置成功。
PFSense – 活动目录组权限
访问 Pfsense 系统菜单并选择”用户管理器”选项。
在”用户管理器”屏幕上,访问”组”选项卡并单击”添加”按钮。
在”组创建”屏幕上,执行以下配置:
• 组名称 – pfsense 管理员
• 范围 – 远程
• 描述 – 活动目录组
单击”保存”按钮,您将被发送回组配置屏幕。
现在,您需要编辑 pfsense 管理组的权限。
在 pfsense-admin 组属性上,找到”已分配的权限”区域,然后单击”添加”按钮。
在”组特权”区域上,执行以下配置:
• 分配的权限 – WebCfg – 所有页面
单击”保存”按钮以完成配置。
PFSense – 启用活动目录身份验证
访问 Pfsense 系统菜单并选择”用户管理器”选项。
在”用户管理器”屏幕上,访问”设置”选项卡。
在”设置”屏幕上,选择”活动目录身份验证服务器”。
单击”保存和测试”按钮。
完成配置后,应注销 Pfsense Web 界面。
尝试使用管理员用户和活动目录数据库中的密码登录。
在登录屏幕上,使用管理员用户和来自 Active Directory 数据库的密码。
• Username: admin
• 密码:输入活动目录密码。
祝贺! 已将 PFSense 身份验证配置为使用活动目录数据库。
