pfSense使用Active Directory进行身份验证

在本教程中,介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。

首先,我们需要在Windows域控制器上创建防火墙规则,该防火墙规则将允许pfSense服务器查询Active Directory数据库。在域控制器上,打开名为“高级安全Windows防火墙”的应用程序,创建一个新的入站防火墙规则。

zabbix活动目录

选择端口选项。

选择“ TCP”选项,选择“指定本地端口”选项,输入TCP端口389。

zabbix Windows防火墙端口ldap

选择“允许连接”选项。

zabbix Windows防火墙允许连接

选中DOMAIN选项,选中PRIVATE选项,选中PUBLIC选项。

输入防火墙规则的描述。

Windows防火墙活动目录

所需的防火墙规则创建完毕,此规则将允许pfSense查询Active Directory数据库。

二、Windows域帐户创建

接下来,我们需要在Active Directory数据库上至少创建2个帐户。admin帐户将用于登录pfSense Web界面。bind帐户将用于查询Active Directory数据库。

在域控制器上,打开Active Directory用户和计算机

在“用户”容器内创建一个新帐户。

Zabbix活动目录帐户

创建一个新帐户,名为:admin,配置给admin用户的密码为:123qwe.。

该帐户将用于在pfSense Web界面上以admin身份进行身份验证。

活动目录管理员帐户zabbix活动目录管理员属性

再创建一个名为bind的新帐户,密码为:123qwe.。

该帐户将用于查询Active Directory数据库中存储的密码。

活动目录绑定帐户zabbix活动目录ldap绑定属性

Active Directory帐户创建完毕。

三、Windows域组创建

接下来,我们需要在Active Directory数据库上至少创建1个组。

在域控制器上,打开Active Directory用户和计算机,在“用户”容器内创建一个新组。

Radius活动目录组

创建pfsense-admin的新组,该组的成员在pfSense Web界面上具有管理员级权限。

pfsense活动目录组

再将admin用户添加为pfsense-admin组的成员。

pfsense活动目录管理员组

四、在pfSense上设置LDAP身份验证

导航到系统>用户管理>认证服务器,然后单击“添加”按钮。

pfsense身份验证服务器

在“服务器设置”区域,设置以下参数:

• Description name(描述名称): ACTIVE DIRECTORY
• Type(类型): LDAP

在“ LDAP服务器设置”区域上,执行以下配置:

• Hostname or IP address – 192.168.15.10
• Port value – 389
• Transport – TCP – Standard
• Protocol version – 3
• Server Timeout – 25
• Search Scope – Entire Subtree
• Base DN – dc=tech,dc=local
• Authentication containers – CN=Users,DC=tech,DC=local
• Extended query – Disabled
• Bind anonymous – Disabled
• Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password – Password of the BIND user account
• Initial Template – Microsoft AD
• User naming attribute – samAccountName
• Group naming attribute – cn
• Group member attribute – memberOf
• RFC 2307 Groups – Disabled
• Group Object Class – posixGroup
• UTF8 Encode – Disabled
• Username Alterations – Disabled

这里需要将IP地址更改为域控制器IP,其他信息根据你的网络环境来设置。

pfsense ldap服务器设置Pfsense活动目录设置

单击保存按钮完成配置。

五、测试Active Directory身份验证

导航到诊断>认证测试,然后选择身份验证选项。

pfsense诊断身份验证

选择活动目录身份验证服务器,输入管理员用户名及其密码,然后单击“测试”按钮。

pfsense ldap身份验证测试

如果测试成功,则应该看到以下消息。

pfsense活动目录登录测试

六、设置pfSense-Active Directory组权限

导航到系统>用户管理,访问“组”选项卡,然后单击“添加”按钮。

pfsense集团经理

在“组编辑”页面上,设置以下参数:

• Group name – pfsense-admin
• Scope – Remote
• Description – Active Directory group

单击保存按钮,返回到组配置页面。

pfsense组创建

下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上,找到“分配的权限”区域,然后单击“添加”按钮。在“组”特权区域中,执行以下配置:

•分配权限-WebCfg – All pages

pfsense活动目录组权限

单击保存按钮完成配置。

七、启用Active Directory身份验证

导航到系统>用户管理,访问“设置”选项卡。

pfsense身份验证设置菜单

在“设置”页面上,在“认证服务器”栏选择“Active Directory”身份验证服务器”。

单击保存&测试按钮。

pfsense活动目录身份验证设置

配置完成后,从pfSense中注销使用admin用户和Active Directory数据库中的密码登录。

•用户名:admin
•密码:输入Active Directory密码。

Pfsense登录

至此,在pfSense中使用Active Directory数据库进行身份验证全部设置完成。

发表评论

电子邮件地址不会被公开。 必填项已用*标注