在本教程中,介紹如何使用Microsoft Windows中的Active Directory數據庫和LDAP協議對pfSense用戶進行身份驗證。
一、配置Windows域控制器防火牆
首先,我們需要在Windows域控制器上創建防火牆規則,該防火牆規則將允許pfSense服務器查詢Active Directory數據庫。在域控制器上,打開名爲“高級安全Windows防火牆”的應用程序,創建一個新的入站防火牆規則。
選擇端口選項。
選擇“ TCP”選項,選擇“指定本地端口”選項,輸入TCP端口389。
選擇“允許連接”選項。
選中DOMAIN選項,選中PRIVATE選項,選中PUBLIC選項。
輸入防火牆規則的描述。
所需的防火牆規則創建完畢,此規則將允許pfSense查詢Active Directory數據庫。
二、Windows域帳戶創建
接下來,我們需要在Active Directory數據庫上至少創建2個帳戶。admin帳戶將用於登錄pfSense Web界面。bind帳戶將用於查詢Active Directory數據庫。
在域控制器上,打開Active Directory用戶和計算機
在“用戶”容器內創建一個新帳戶。
創建一個新帳戶,名爲:admin,配置給admin用戶的密碼爲:123qwe.。
該帳戶將用於在pfSense Web界面上以admin身份進行身份驗證。
再創建一個名爲bind的新帳戶,密碼爲:123qwe.。
該帳戶將用於查詢Active Directory數據庫中存儲的密碼。
Active Directory帳戶創建完畢。
三、Windows域組創建
接下來,我們需要在Active Directory數據庫上至少創建1個組。
在域控制器上,打開Active Directory用戶和計算機,在“用戶”容器內創建一個新組。
創建pfsense-admin的新組,該組的成員在pfSense Web界面上具有管理員級權限。
再將admin用戶添加爲pfsense-admin組的成員。
四、在pfSense上設置LDAP身份驗證
導航到系統>用戶管理>認證服務器,然後單擊“添加”按鈕。
在“服務器設置”區域,設置以下參數:
• Description name(描述名稱): ACTIVE DIRECTORY
• Type(類型): LDAP
在“ LDAP服務器設置”區域上,執行以下配置:
• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled
這裏需要將IP地址更改爲域控制器IP,其他信息根據你的網絡環境來設置。
單擊保存按鈕完成配置。
五、測試Active Directory身份驗證
導航到診斷>認證測試,然後選擇身份驗證選項。
選擇活動目錄身份驗證服務器,輸入管理員用戶名及其密碼,然後單擊“測試”按鈕。
如果測試成功,則應該看到以下消息。
六、設置pfSense-Active Directory組權限
導航到系統>用戶管理,訪問“組”選項卡,然後單擊“添加”按鈕。
在“組編輯”頁面上,設置以下參數:
• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group
單擊保存按鈕,返回到組配置頁面。
下面來編輯pfsense-admin組的權限。在pfsense-admin組屬性上,找到“分配的權限”區域,然後單擊“添加”按鈕。在“組”特權區域中,執行以下配置:
•分配權限-WebCfg - All pages
單擊保存按鈕完成配置。
七、啓用Active Directory身份驗證
導航到系統>用戶管理,訪問“設置”選項卡。
在“設置”頁面上,在“認證服務器”欄選擇“Active Directory”身份驗證服務器”。
單擊保存&測試按鈕。
配置完成後,從pfSense中註銷,使用admin用戶和Active Directory數據庫中的密碼登錄。
•用戶名:admin
•密碼:輸入Active Directory密碼。
至此,在pfSense中使用Active Directory數據庫進行身份驗證全部設置完成。