在本教程中,介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。
一、配置Windows域控制器防火墙
首先,我们需要在Windows域控制器上创建防火墙规则,该防火墙规则将允许pfSense服务器查询Active Directory数据库。在域控制器上,打开名为“高级安全Windows防火墙”的应用程序,创建一个新的入站防火墙规则。
选择端口选项。
选择“ TCP”选项,选择“指定本地端口”选项,输入TCP端口389。
选择“允许连接”选项。
选中DOMAIN选项,选中PRIVATE选项,选中PUBLIC选项。
输入防火墙规则的描述。
所需的防火墙规则创建完毕,此规则将允许pfSense查询Active Directory数据库。
二、Windows域帐户创建
接下来,我们需要在Active Directory数据库上至少创建2个帐户。admin帐户将用于登录pfSense Web界面。bind帐户将用于查询Active Directory数据库。
在域控制器上,打开Active Directory用户和计算机
在“用户”容器内创建一个新帐户。
创建一个新帐户,名为:admin,配置给admin用户的密码为:123qwe.。
该帐户将用于在pfSense Web界面上以admin身份进行身份验证。
再创建一个名为bind的新帐户,密码为:123qwe.。
该帐户将用于查询Active Directory数据库中存储的密码。
Active Directory帐户创建完毕。
三、Windows域组创建
接下来,我们需要在Active Directory数据库上至少创建1个组。
在域控制器上,打开Active Directory用户和计算机,在“用户”容器内创建一个新组。
创建pfsense-admin的新组,该组的成员在pfSense Web界面上具有管理员级权限。
再将admin用户添加为pfsense-admin组的成员。
四、在pfSense上设置LDAP身份验证
导航到系统>用户管理>认证服务器,然后单击“添加”按钮。
在“服务器设置”区域,设置以下参数:
• Description name(描述名称): ACTIVE DIRECTORY
• Type(类型): LDAP
在“ LDAP服务器设置”区域上,执行以下配置:
• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled
这里需要将IP地址更改为域控制器IP,其他信息根据你的网络环境来设置。
单击保存按钮完成配置。
五、测试Active Directory身份验证
导航到诊断>认证测试,然后选择身份验证选项。
选择活动目录身份验证服务器,输入管理员用户名及其密码,然后单击“测试”按钮。
如果测试成功,则应该看到以下消息。
六、设置pfSense-Active Directory组权限
导航到系统>用户管理,访问“组”选项卡,然后单击“添加”按钮。
在“组编辑”页面上,设置以下参数:
• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group
单击保存按钮,返回到组配置页面。
下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上,找到“分配的权限”区域,然后单击“添加”按钮。在“组”特权区域中,执行以下配置:
•分配权限-WebCfg - All pages
单击保存按钮完成配置。
七、启用Active Directory身份验证
导航到系统>用户管理,访问“设置”选项卡。
在“设置”页面上,在“认证服务器”栏选择“Active Directory”身份验证服务器”。
单击保存&测试按钮。
配置完成后,从pfSense中注销,使用admin用户和Active Directory数据库中的密码登录。
•用户名:admin
•密码:输入Active Directory密码。
至此,在pfSense中使用Active Directory数据库进行身份验证全部设置完成。