pfSense 使用Active Directory进行LDAP身份验证

2024-02-13 12:57:22

在本教程中，介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。

一、配置Windows域控制器防火墙

首先，我们需要在Windows域控制器上创建防火墙规则，该防火墙规则将允许pfSense服务器查询Active Directory数据库。在域控制器上，打开名为“高级安全Windows防火墙”的应用程序，创建一个新的入站防火墙规则。

选择端口选项。

选择“ TCP”选项，选择“指定本地端口”选项，输入TCP端口389。

选择“允许连接”选项。

选中DOMAIN选项，选中PRIVATE选项，选中PUBLIC选项。

输入防火墙规则的描述。

所需的防火墙规则创建完毕，此规则将允许pfSense查询Active Directory数据库。

二、Windows域帐户创建

接下来，我们需要在Active Directory数据库上至少创建2个帐户。admin帐户将用于登录pfSense Web界面。bind帐户将用于查询Active Directory数据库。

在域控制器上，打开Active Directory用户和计算机

在“用户”容器内创建一个新帐户。

创建一个新帐户，名为：admin，配置给admin用户的密码为：123qwe.。

该帐户将用于在pfSense Web界面上以admin身份进行身份验证。

再创建一个名为bind的新帐户，密码为：123qwe.。

该帐户将用于查询Active Directory数据库中存储的密码。

Active Directory帐户创建完毕。

三、Windows域组创建

接下来，我们需要在Active Directory数据库上至少创建1个组。

在域控制器上，打开Active Directory用户和计算机，在“用户”容器内创建一个新组。

创建pfsense-admin的新组，该组的成员在pfSense Web界面上具有管理员级权限。

再将admin用户添加为pfsense-admin组的成员。

四、在pfSense上设置LDAP身份验证

导航到系统>用户管理>认证服务器，然后单击“添加”按钮。

在“服务器设置”区域，设置以下参数：

• Description name(描述名称): ACTIVE DIRECTORY
• Type（类型）: LDAP

在“ LDAP服务器设置”区域上，执行以下配置：

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled