您是否希望了解如何在活动目录上配置 OPNsense LDAP 身份验证? 在本教程中,我们将向您展示如何使用 Microsoft Windows 中的活动目录数据库和 LDAP 协议对 OPNsense 用户进行身份验证。

• OPNsense 19.7

设备列表

以下部分介绍用于创建本教程的设备列表。

作为亚马逊同事,我从符合条件的购买中赚取收入。

教程 – Windows 域控制器防火墙

首先,我们需要在 Windows 域控制器上创建防火墙规则。

此防火墙规则将允许 Opnsense 服务器查询活动目录数据库。

在域控制器上,使用高级安全性打开名为 Windows 防火墙的应用程序

创建新的入站防火墙规则。

zabbix active directory

选择”端口”选项。

zabbix windows firewall port

选择 TCP 选项。

选择”特定本地端口”选项。

输入 TCP 端口 389。

zabbix windows firewall port ldap

选择”允许连接”选项。

zabbix windows firewall allow connection

选中”域”选项。

选中”私人”选项。

选中”公共”选项。

Zabbix windows firewall profile

输入防火墙规则的说明。

windows firewall active directory

恭喜您,您已创建了所需的防火墙规则。

此规则将允许 Opnsense 查询活动目录数据库。

教程 – Windows 域帐户创建

接下来,我们需要在 Active 目录数据库上创建至少 2 个帐户。

ADMIN 帐户将用于登录 Opnsense Web 界面。

BIND 帐户将用于查询活动目录数据库。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在”用户”容器内创建新帐户。

Zabbix active directory account

创建新帐户命名为:管理员

密码配置为 ADMIN 用户: 123qwe.

此帐户将用于在 Opnsense Web 界面上作为管理员进行身份验证。

active directory admin account
zabbix active directory admin properties

创建新帐户名为:绑定

密码配置为 BIND 用户:123qwe.

此帐户将用于查询 Active Directory 数据库上存储的密码。

active directory bind account
zabbix active directory ldap bind properties

恭喜您,您已经创建了所需的活动目录帐户。

OPNsense – 活动目录上的 OPNsense LDAP 身份验证

打开浏览器软件,输入 Opnsense 防火墙的 IP 地址并访问 Web 界面。

在我们的示例中,浏览器中输入了以下 URL:

• https://192.168.15.11

应提供 opnsense Web 界面。

opnsense login

在提示屏幕上,输入 OPNsense 默认密码登录信息。

• Username: root
• 密码:在 OPNsense 安装期间设置密码

成功登录后,您将被发送到 OPNSense 仪表板。

opnsense dashboard

访问”机会系统”菜单,访问”访问”子菜单并选择”服务器”选项。

opnsense servers menu

单击”添加”按钮并执行以下配置。

• 描述性名称:LDAP
• 类型:LDAP
• 主机名或 IP 地址 – 34.212.170.252
• 端口值 – 389
• 传输 – TCP 标准
• 协议版本 – 3
• 绑定凭据 – CN_绑定,CN_用户,DC_技术,DC=本地
• 绑定凭据密码 – 123qwe。
• 搜索范围 – 整个子树
• 基本 DN – 直流技术、直流、本地
• 身份验证容器 – CN_用户,DC_TECH,DC=LOCAL
• 初始模板 – 微软 AD
• 用户命名属性 – sAMAccountName
• 读取属性
• 同步组
• 限制组

您需要将 IP 地址更改为域控制器 IP。

您需要更改域信息以反映网络环境。

您需要更改绑定凭据以反映网络环境。

opnsense ldap authentication

单击”保存”按钮以完成配置。

在我们的示例中,我们在 OPNsense 防火墙上配置了 LDAP 服务器身份验证。

OPNsense – 测试 LDAP 身份验证

访问 Opnsense 系统菜单,访问”访问”子菜单并选择”测试仪”选项。

选择 LDAP 身份验证服务器。

输入管理员用户名及其密码,然后单击”测试”按钮。

如果测试成功,您应该会看到以下消息。

opnsense ldap authentication test

祝贺! 活动目录上的 OPNsense LDAP 身份验证配置成功。

OPNsense – LDAP 组权限

访问”访问系统”菜单,访问”访问”子菜单并选择”组”选项。

opnsense servers menu

在 OPNsense 防火墙上添加新的本地组。

在”组创建”屏幕上,执行以下配置:

• 组名称 – 感知管理员
• 描述 – Ldap 组
• 成员 – 可选,您可以添加根用户帐户。

单击”保存”按钮,您将被发送回组配置屏幕。

opnsense radius group

现在,您需要编辑 opnsense 管理员组的权限。

在 opnsense-admin 组属性上,找到”已分配的权限”区域,然后单击”添加”按钮。

在”组特权”区域上,执行以下配置:

• 分配的权限 – GUI – 所有页面

opnsense group permission

单击”保存”按钮以完成配置。

OPNsense – LDAP 用户权限

OPNsense 要求本地数据库上存在所有 Ldap 用户帐户才能执行正确的授权配置。

我们将将管理员用户帐户添加到本地数据库。

我们将配置名为 opnsense 管理员组管理员成员的本地帐户。

访问 Opnsense 系统菜单,访问”访问”子菜单并选择”用户”选项。

opnsense servers menu

使用 Active 目录帐户中的相同用户名添加新的本地用户帐户。

opnsense radius user

使此用户帐户成为 opnsense 管理员组的成员。

opnsense radius user group

单击”保存”按钮以完成配置。

OPNsense – 启用 LDAP 身份验证

访问”操作系统”菜单,访问”设置”子菜单并选择”管理”选项。

opnsense administration menu

找到身份验证区域,选择 LDAP 身份验证,然后单击”保存”按钮。

opnsense ldap active directory

或者,选择本地数据库作为第二种身份验证方法。

完成配置后,应注销 Opnsense Web 界面。

尝试使用管理员用户和活动目录数据库中的密码登录。

在登录屏幕上,使用管理员用户和来自 Active Directory 数据库的密码。

• Username: admin
• 密码:输入活动目录密码。

opnsense login

祝贺! 已将 OPNsense 身份验证配置为使用 LDAP 使用活动目录数据库。