pfSense 使用Active Directory進行LDAP身份驗證

在本教程中，介紹如何使用Microsoft Windows中的Active Directory數據庫和LDAP協議對pfSense用戶進行身份驗證。

 

一、配置Windows域控制器防火牆

首先，我們需要在Windows域控制器上創建防火牆規則，該防火牆規則將允許pfSense服務器查詢Active Directory數據庫。在域控制器上，打開名爲“高級安全Windows防火牆”的應用程序，創建一個新的入站防火牆規則。

選擇端口選項。

選擇“ TCP”選項，選擇“指定本地端口”選項，輸入TCP端口389。

選擇“允許連接”選項。

選中DOMAIN選項，選中PRIVATE選項，選中PUBLIC選項。

輸入防火牆規則的描述。

所需的防火牆規則創建完畢，此規則將允許pfSense查詢Active Directory數據庫。

二、Windows域帳戶創建

接下來，我們需要在Active Directory數據庫上至少創建2個帳戶。admin帳戶將用於登錄pfSense Web界面。bind帳戶將用於查詢Active Directory數據庫。

在域控制器上，打開Active Directory用戶和計算機

在“用戶”容器內創建一個新帳戶。

創建一個新帳戶，名爲：admin，配置給admin用戶的密碼爲：123qwe.。

該帳戶將用於在pfSense Web界面上以admin身份進行身份驗證。

再創建一個名爲bind的新帳戶，密碼爲：123qwe.。

該帳戶將用於查詢Active Directory數據庫中存儲的密碼。

Active Directory帳戶創建完畢。

三、Windows域組創建

接下來，我們需要在Active Directory數據庫上至少創建1個組。

在域控制器上，打開Active Directory用戶和計算機，在“用戶”容器內創建一個新組。

創建pfsense-admin的新組，該組的成員在pfSense Web界面上具有管理員級權限。

再將admin用戶添加爲pfsense-admin組的成員。

 

四、在pfSense上設置LDAP身份驗證

 

 

導航到系統>用戶管理>認證服務器，然後單擊“添加”按鈕。

在“服務器設置”區域，設置以下參數：

• Description name(描述名稱): ACTIVE DIRECTORY
• Type（類型）: LDAP

在“ LDAP服務器設置”區域上，執行以下配置：

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

這裏需要將IP地址更改爲域控制器IP，其他信息根據你的網絡環境來設置。

單擊保存按鈕完成配置。

五、測試Active Directory身份驗證

導航到診斷>認證測試，然後選擇身份驗證選項。

選擇活動目錄身份驗證服務器，輸入管理員用戶名及其密碼，然後單擊“測試”按鈕。

如果測試成功，則應該看到以下消息。

六、設置pfSense-Active Directory組權限

導航到系統>用戶管理，訪問“組”選項卡，然後單擊“添加”按鈕。

在“組編輯”頁面上，設置以下參數：

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

單擊保存按鈕，返回到組配置頁面。

下面來編輯pfsense-admin組的權限。在pfsense-admin組屬性上，找到“分配的權限”區域，然後單擊“添加”按鈕。在“組”特權區域中，執行以下配置：

•分配權限-WebCfg - All pages

單擊保存按鈕完成配置。

七、啓用Active Directory身份驗證

導航到系統>用戶管理，訪問“設置”選項卡。

在“設置”頁面上，在“認證服務器”欄選擇“Active Directory”身份驗證服務器”。

單擊保存&測試按鈕。

配置完成後，從pfSense中註銷，使用admin用戶和Active Directory數據庫中的密碼登錄。

•用戶名：admin
•密碼：輸入Active Directory密碼。

至此，在pfSense中使用Active Directory數據庫進行身份驗證全部設置完成。