pfSense使用Active Directory进行身份验证

Memoryn
Memoryn
2阅读
本文摘要在本教程中,介绍如何使用 Microsoft Windows 中的 Active Directory 数据库和 LDAP 协议对 pfSense 用户进行身份验证。一、配置Windows域控制器防火墙首先,我们需要在 Windows 域控制器上创建防火墙规则,允许 pfSense 服务器查询 Active Directory 数据库。在域控制器上,打开名为“高级安全 Windows 防火墙”的应用...

在本教程中,介绍如何使用 Microsoft Windows 中的 Active Directory 数据库和 LDAP 协议对 pfSense 用户进行身份验证。

一、配置Windows域控制器防火墙

首先,我们需要在 Windows 域控制器上创建防火墙规则,允许 pfSense 服务器查询 Active Directory 数据库。在域控制器上,打开名为“高级安全 Windows 防火墙”的应用程序,创建一个新的入站防火墙规则。

创建入站防火墙规则

选择端口选项。

选择端口选项

选择“TCP”选项,选择“指定本地端口”选项,输入 TCP 端口 389。

指定本地端口 389

选择“允许连接”选项。

允许连接

选中 DOMAIN 选项,选中 PRIVATE 选项,选中 PUBLIC 选项。

选择防火墙配置文件

输入防火墙规则的描述。

输入防火墙规则描述

所需的防火墙规则创建完毕,此规则将允许 pfSense 查询 Active Directory 数据库。

二、Windows域帐户创建

接下来,需要在 Active Directory 数据库上至少创建 2 个帐户。admin 帐户将用于登录 pfSense Web 界面。bind 帐户将用于查询 Active Directory 数据库。

在域控制器上,打开 Active Directory 用户和计算机,在“用户”容器内创建一个新帐户。

创建新用户帐户

创建一个新帐户,名为 admin,密码:123qwe.。该帐户将用于在 pfSense Web 界面上以 admin 身份进行身份验证。

创建 admin 用户

admin 用户属性

再创建一个名为 bind 的新帐户,密码:123qwe.。该帐户将用于查询 Active Directory 数据库中存储的密码。

创建 bind 用户

bind 用户属性

Active Directory 帐户创建完毕。

三、Windows域组创建

接下来,需要在 Active Directory 数据库上至少创建 1 个组。在域控制器上,打开 Active Directory 用户和计算机,在“用户”容器内创建一个新组。

新建组

创建 pfsense-admin 的新组,该组的成员在 pfSense Web 界面上具有管理员级权限。

创建 pfsense-admin 组

再将 admin 用户添加为 pfsense-admin 组的成员。

将 admin 添加为组成员

四、在pfSense上设置LDAP身份验证

导航到系统 > 用户管理 > 认证服务器,然后单击“添加”按钮。

认证服务器列表

在“服务器设置”区域,设置以下参数:

  • Description name: ACTIVE DIRECTORY
  • Type: LDAP

LDAP 服务器设置 - 描述名称和类型

在“LDAP 服务器设置”区域上,执行以下配置(IP 地址等请根据实际环境修改):

  • Hostname or IP address – 192.168.15.10
  • Port value – 389
  • Transport – TCP – Standard
  • Protocol version – 3
  • Server Timeout – 25
  • Search Scope – Entire Subtree
  • Base DN – dc=tech,dc=local
  • Authentication containers – CN=Users,DC=tech,DC=local
  • Extended query – Disabled
  • Bind anonymous – Disabled
  • Bind credentials – CN=bind,CN=Users,DC=tech,DC=local
  • Bind credentials Password – Password of the BIND user account
  • Initial Template – Microsoft AD
  • User naming attribute – samAccountName
  • Group naming attribute – cn
  • Group member attribute – memberOf
  • RFC 2307 Groups – Disabled
  • Group Object Class – posixGroup
  • UTF8 Encode – Disabled
  • Username Alterations – Disabled

LDAP 服务器详细设置

LDAP 扩展设置

单击保存按钮完成配置。

五、测试Active Directory身份验证

导航到诊断 > 认证测试,然后选择身份验证选项。

诊断认证测试菜单

选择活动目录身份验证服务器,输入管理员用户名及其密码,然后单击“测试”按钮。

LDAP 认证测试

如果测试成功,则应该看到以下消息。

认证测试成功

六、设置pfSense-Active Directory组权限

导航到系统 > 用户管理,访问“组”选项卡,然后单击“添加”按钮。

组管理界面

在“组编辑”页面上,设置以下参数:

  • Group name – pfsense-admin
  • Scope – Remote
  • Description – Active Directory group

单击保存按钮,返回到组配置页面。

创建远程组

下面来编辑 pfsense-admin 组的权限。在 pfsense-admin 组属性上,找到“分配的权限”区域,然后单击“添加”按钮。在“组”特权区域中,执行以下配置:

  • 分配权限 – WebCfg – All pages

分配 WebCfg 所有页面权限

单击保存按钮完成配置。

七、启用Active Directory身份验证

导航到系统 > 用户管理,访问“设置”选项卡。

用户管理设置菜单

在“设置”页面上,在“认证服务器”栏选择“Active Directory”身份验证服务器。单击保存 & 测试按钮。

选择 Active Directory 认证服务器

配置完成后,从 pfSense 中注销,使用 admin 用户和 Active Directory 数据库中的密码登录。

  • 用户名:admin
  • 密码:输入 Active Directory 密码。

pfSense 登录界面

至此,在 pfSense 中使用 Active Directory 数据库进行身份验证全部设置完成。

觉得内容不错?我要

版权声明
本文作者:Memoryn
本文链接:https://www.memoryn.com/archives/2798/
转载需注明文章出处,若本文内容有侵犯到您合法权益,请联系站长删除
评论 暂无评论
暂无评论,快来抢沙发吧~