pfSense 使用Active Directory進行LDAP身份驗證

時間  2019-11-19
標籤 pfsense 使用 active directory 進行 ldap 身份 驗證 简体版
原文   原文鏈接

在本教程中,介紹如何使用Microsoft Windows中的Active Directory數據庫和LDAP協議對pfSense用戶進行身份驗證。數據庫

 

1、配置Windows域控制器防火牆

首先,咱們須要在Windows域控制器上建立防火牆規則,該防火牆規則將容許pfSense服務器查詢Active Directory數據庫。在域控制器上,打開名爲「高級安全Windows防火牆」的應用程序,建立一個新的入站防火牆規則。windows

zabbix活動目錄

選擇端口選項。安全

zabbix-windows-firewall-port.jpg

選擇「 TCP」選項,選擇「指定本地端口」選項,輸入TCP端口389。服務器

zabbix Windows防火牆端口ldap

選擇「容許鏈接」選項。網絡

zabbix Windows防火牆容許鏈接

選中DOMAIN選項,選中PRIVATE選項,選中PUBLIC選項。ide

Zabbix-windows-firewall-profile.jpg

輸入防火牆規則的描述。測試

Windows防火牆活動目錄

所需的防火牆規則建立完畢,此規則將容許pfSense查詢Active Directory數據庫。spa

2、Windows域賬戶建立

接下來,咱們須要在Active Directory數據庫上至少建立2個賬戶。admin賬戶將用於登陸pfSense Web界面。bind賬戶將用於查詢Active Directory數據庫。3d

在域控制器上,打開Active Directory用戶和計算機code

在「用戶」容器內建立一個新賬戶。

Zabbix活動目錄賬戶

建立一個新賬戶,名爲:admin,配置給admin用戶的密碼爲:123qwe.。

該賬戶將用於在pfSense Web界面上以admin身份進行身份驗證。

活動目錄管理員賬戶zabbix活動目錄管理員屬性

再建立一個名爲bind的新賬戶,密碼爲:123qwe.。

該賬戶將用於查詢Active Directory數據庫中存儲的密碼。

活動目錄綁定賬戶zabbix活動目錄ldap綁定屬性

Active Directory賬戶建立完畢。

3、Windows域組建立

接下來,咱們須要在Active Directory數據庫上至少建立1個組。

在域控制器上,打開Active Directory用戶和計算機,在「用戶」容器內建立一個新組。

Radius活動目錄組

建立pfsense-admin的新組,該組的成員在pfSense Web界面上具備管理員級權限。

pfsense活動目錄組

再將admin用戶添加爲pfsense-admin組的成員。

pfsense活動目錄管理員組

 

4、在pfSense上設置LDAP身份驗證

 

 

導航到系統>用戶管理>認證服務器,而後單擊「添加」按鈕。

pfsense身份驗證服務器

在「服務器設置」區域,設置如下參數:

• Description name(描述名稱): ACTIVE DIRECTORY
• Type(類型): LDAP

Pfsense-active-directory-server-settings.jpg

在「 LDAP服務器設置」區域上,執行如下配置:

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

這裏須要將IP地址更改成域控制器IP,其餘信息根據你的網絡環境來設置。

pfsense ldap服務器設置Pfsense活動目錄設置

單擊保存按鈕完成配置。

5、測試Active Directory身份驗證

導航到診斷>認證測試,而後選擇身份驗證選項。

pfsense診斷身份驗證

選擇活動目錄身份驗證服務器,輸入管理員用戶名及其密碼,而後單擊「測試」按鈕。

pfsense ldap身份驗證測試

若是測試成功,則應該看到如下消息。

pfsense活動目錄登陸測試

6、設置pfSense-Active Directory組權限

導航到系統>用戶管理,訪問「組」選項卡,而後單擊「添加」按鈕。

pfsense集團經理

在「組編輯」頁面上,設置如下參數:

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

單擊保存按鈕,返回到組配置頁面。

pfsense組建立

下面來編輯pfsense-admin組的權限。在pfsense-admin組屬性上,找到「分配的權限」區域,而後單擊「添加」按鈕。在「組」特權區域中,執行如下配置:

•分配權限-WebCfg - All pages

pfsense活動目錄組權限

單擊保存按鈕完成配置。

7、啓用Active Directory身份驗證

導航到系統>用戶管理,訪問「設置」選項卡。

pfsense身份驗證設置菜單

在「設置」頁面上,在「認證服務器」欄選擇「Active Directory」身份驗證服務器」。

單擊保存&測試按鈕。

pfsense活動目錄身份驗證設置

配置完成後,從pfSense中註銷使用admin用戶和Active Directory數據庫中的密碼登陸。

•用戶名:admin
•密碼:輸入Active Directory密碼。

Pfsense登陸

至此,在pfSense中使用Active Directory數據庫進行身份驗證所有設置完成。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程