您是否希望了解如何使用半径配置 PFsense 活动目录身份验证? 在本教程中,我们将向您展示如何使用 Radius 协议对 Active Directory 数据库上的 PFSense 用户进行身份验证。

• 普森 2.4.4-p3
• Windows 2012 R2

教程 - 在 Windows 上安装半径服务器

• IP - 192.168.15.10。
• 操作系统 - 视窗 2012 R2
• Hostname - TECH-DC01
• 活动目录域:TECH.LOCAL

打开服务器管理器应用程序。

访问"管理"菜单并单击"添加角色和功能"。

Windows 2012 add role

访问服务器角色屏幕,选择"网络策略和访问服务"选项。

单击"下一步"按钮。

Network Policy and Access Service

在以下屏幕上,单击"添加功能"按钮。

network policy features

在"角色服务"屏幕上,单击"下一个"按钮。

network policy server

在下一个屏幕上,单击"安装"按钮。

radius server installation on windows

您已完成 Windows 2012 上的半径服务器安装。

教程半径服务器 - 活动目录集成

接下来,我们需要在 Active 目录数据库上创建至少 1 个帐户。

ADMIN 帐户将用于登录 Pfsense Web 界面。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在"用户"容器内创建新帐户。

Zabbix active directory account

创建新帐户命名为:管理员

密码配置为 ADMIN 用户: 123qwe.

此帐户将用于在 Pfsense Web 界面上作为管理员进行身份验证。

active directory admin accountzabbix active directory admin properties

恭喜您,您已经创建了所需的活动目录帐户。

接下来,我们需要在 Active 目录数据库上创建至少一个组。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在"用户"容器内创建新组。

Radius Active directory group

创建新的组名为:pfsense-admin

此组的成员将在 PFsense Web 界面上具有管理员权限。

pfsense active directory group

重要! 将管理员用户添加为 pfsense-admin 组的成员。

pfsense active directory admin group

恭喜您,您已创建了所需的活动目录组。

教程 - Windows 域控制器防火墙

我们需要在 Windows 域控制器上创建防火墙规则。

此防火墙规则将允许 Pfsense 服务器查询活动目录数据库。

在域控制器上,使用高级安全性打开名为 Windows 防火墙的应用程序

创建新的入站防火墙规则。

zabbix active directory

选择"端口"选项。

zabbix windows firewall port

选择 TCP 选项。

选择"特定本地端口"选项。

输入 TCP 端口 636。

Windows firewall open port 636

选择"允许连接"选项。

zabbix windows firewall allow connection

选中"域"选项。

选中"私人"选项。

选中"公共"选项。

Zabbix windows firewall profile

输入防火墙规则的说明。

windows firewall active directory

恭喜您,您已创建了所需的防火墙规则。

此规则将允许 Pfsense 查询活动目录数据库。

教程半径服务器 - 添加客户端设备

在 Radius 服务器上,打开名为:网络策略服务器的应用程序

您需要在活动目录数据库上授权 Radius 服务器。

右键单击 NPS(LOCAL),然后选择"活动目录"选项中的"注册服务器"。

authorize radius server on windows

在确认屏幕上,单击"确定"按钮。

接下来,您需要配置 Radius 客户端。

半径客户端是允许从半径服务器请求身份验证的设备

重要! 不要将半径客户端与半径用户混淆。

右键单击"半径客户端"文件夹并选择"新建"选项。

pfsense radius client

下面是配置为允许 Pfsense 防火墙连接到 Radius 服务器的客户端的示例。

您需要设置以下配置:

• 设备名称友好 - 添加说明给您 Pfsense
• 设备 IP 地址 - PFsense 防火墙的 IP 地址
• 设备共享机密 - kamisama123

共享密钥将用于授权设备使用 Radius 服务器。

您已完成半径客户端配置。

教程半径服务器 - 配置网络策略

现在,您需要创建一个网络策略以允许身份验证。

右键单击"网络策略"文件夹并选择"新建"选项。

输入网络策略的名称,然后单击"下一步"按钮。

nps - network policy name

单击"添加条件"按钮。

我们将允许 PFSENSE-ADMIN 组的成员进行身份验证。

pfsense radius user group

选择"用户组"选项,然后单击"添加"按钮。

nps - user group condition

单击"添加组"按钮并找到 PFSENSE-ADMIN 组。

pfsense admin radius group

选择"访问授予"选项,然后单击"下一步"按钮。

这将允许 PFSENSE-ADMIN 组的成员在 Radius 服务器上进行身份验证。

NPS Access granted

在"身份验证方法"屏幕上,选择未加密身份验证(PAP、SPAP)选项。

Radius server authentication method

如果出现以下警告,请单击"否"按钮。

NPS Warning message

在"半径配置"屏幕上,选择"标准半径"属性选项,然后单击"添加"按钮

pfsense radius nps configure settings

选择"类"属性,然后单击"添加"按钮。

pfsense radius nps class

选择"字符串"选项,然后输入我们之前创建的"活动"组的十个名称。

在我们的示例中,我们创建了一个名为 PFSENSE-ADMIN 的活动目录组。

pfsense active directory radius attribute information

NPS 半径服务器将类信息传回 PFsense 防火墙。

Pfsense 防火墙将使用类信息将用户设置为 pfsense-admin 组的成员。

请记住,pfsense-admin 组必须存在于活动目录上以及 Pfsense 防火墙上。

pfsense radius network policy settings nps

验证半径服务器配置摘要,然后单击"完成"按钮。

pfsense active directory authentication summary

祝贺! 您已完成半径服务器配置。

PFSense - 活动目录上的 PFSense 半径身份验证

打开浏览器软件,输入 Pfsense 防火墙的 IP 地址并访问 Web 界面。

在我们的示例中,浏览器中输入了以下 URL:

• https://192.168.15.11

应提供 Pfsense Web 界面。

Pfsense login

在提示屏幕上,输入 Pfsense 默认密码登录信息。

• Username: admin
• 密码: pfsense

成功登录后,您将被发送到 Pfsense 仪表板。

Pfsense dashboard

访问 Pfsense 系统菜单并选择"用户管理器"选项。

pfsense user manager menu

在"用户管理器"屏幕上,访问"身份验证服务器"选项卡并单击"添加"按钮。

pfsense authentication servers

在"服务器"设置区域上,执行以下配置:

• 描述名称:活动目录
• 类型: RADIUS

pfsense radius authentication server

在 RADIUS 服务器设置区域上,执行以下配置:

• 协议 - PAP
• 主机名或 IP 地址 - 192.168.15.10
• 共享密钥 - Radius 客户端共享机密 (kamisama123)
• 提供的服务 - 身份验证和会计
• 身份验证端口 - 1812
• 阿贡廷港 - 1813
• 身份验证超时 - 5

您需要更改半径服务器的 IP 地址。

您需要更改共享密钥以反映您的 Radius 客户端共享密钥。

pfsense radius server settings

单击"保存"按钮以完成配置。

在我们的示例中,我们在 PFSense 防火墙上配置了 Radius 服务器身份验证。

PFSense 半径 - 测试活动目录身份验证

访问 Pfsense 诊断菜单并选择"身份验证"选项。

pfsense diagnostics authentication

选择活动目录身份验证服务器。

输入管理员用户名及其密码,然后单击"测试"按钮。

pfsense ldap authentication test

如果测试成功,您应该会看到以下消息。

pfsense active directory login test

祝贺! 活动目录上的 PFsense 半径服务器身份验证配置成功。

PFSense - 活动目录组权限

访问 Pfsense 系统菜单并选择"用户管理器"选项。

pfsense user manager menu

在"用户管理器"屏幕上,访问"组"选项卡并单击"添加"按钮。

pfsense group manager

在"组创建"屏幕上,执行以下配置:

• 组名称 - pfsense 管理员
• 范围 - 远程
• 描述 - 活动目录组

单击"保存"按钮,您将被发送回组配置屏幕。

pfsense group creation

现在,您需要编辑 pfsense 管理组的权限。

在 pfsense-admin 组属性上,找到"已分配的权限"区域,然后单击"添加"按钮。

在"组特权"区域上,执行以下配置:

• 分配的权限 - WebCfg - 所有页面

pfsense active directory group permission

单击"保存"按钮以完成配置。

PFSense - 启用活动目录身份验证

访问 Pfsense 系统菜单并选择"用户管理器"选项。

pfsense user manager menu

在"用户管理器"屏幕上,访问"设置"选项卡。

pfsense authentication settings menu

在"设置"屏幕上,选择"活动目录身份验证服务器"。

单击"保存和测试"按钮。

pfsense active directory authentication settings

完成配置后,应注销 Pfsense Web 界面。

尝试使用管理员用户和活动目录数据库中的密码登录。

在登录屏幕上,使用管理员用户和来自 Active Directory 数据库的密码。

• Username: admin
• 密码:输入活动目录密码。

Pfsense login

祝贺! 已将 PFSense 身份验证配置为使用活动目录数据库。