pfSense 使用Active Directory进行LDAP身份验证

在本教程中,介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。

 

一、配置Windows域控制器防火墙

首先,我们需要在Windows域控制器上创建防火墙规则,该防火墙规则将允许pfSense服务器查询Active Directory数据库。在域控制器上,打开名为“高级安全Windows防火墙”的应用程序,创建一个新的入站防火墙规则。

pfSense 使用Active Directory进行LDAP身份验证

选择端口选项。

pfSense 使用Active Directory进行LDAP身份验证

选择“ TCP”选项,选择“指定本地端口”选项,输入TCP端口389。

pfSense 使用Active Directory进行LDAP身份验证

选择“允许连接”选项。

pfSense 使用Active Directory进行LDAP身份验证

选中DOMAIN选项,选中PRIVATE选项,选中PUBLIC选项。

pfSense 使用Active Directory进行LDAP身份验证

输入防火墙规则的描述。

pfSense 使用Active Directory进行LDAP身份验证

所需的防火墙规则创建完毕,此规则将允许pfSense查询Active Directory数据库。

二、Windows域帐户创建

接下来,我们需要在Active Directory数据库上至少创建2个帐户。admin帐户将用于登录pfSense Web界面。bind帐户将用于查询Active Directory数据库。

在域控制器上,打开Active Directory用户和计算机

在“用户”容器内创建一个新帐户。

pfSense 使用Active Directory进行LDAP身份验证

创建一个新帐户,名为:admin,配置给admin用户的密码为:123qwe.。

该帐户将用于在pfSense Web界面上以admin身份进行身份验证。

pfSense 使用Active Directory进行LDAP身份验证pfSense 使用Active Directory进行LDAP身份验证

再创建一个名为bind的新帐户,密码为:123qwe.。

该帐户将用于查询Active Directory数据库中存储的密码。

pfSense 使用Active Directory进行LDAP身份验证pfSense 使用Active Directory进行LDAP身份验证

Active Directory帐户创建完毕。

三、Windows域组创建

接下来,我们需要在Active Directory数据库上至少创建1个组。

在域控制器上,打开Active Directory用户和计算机,在“用户”容器内创建一个新组。

pfSense 使用Active Directory进行LDAP身份验证

创建pfsense-admin的新组,该组的成员在pfSense Web界面上具有管理员级权限。

pfSense 使用Active Directory进行LDAP身份验证

再将admin用户添加为pfsense-admin组的成员。

pfSense 使用Active Directory进行LDAP身份验证

 

四、在pfSense上设置LDAP身份验证

 

 

导航到系统>用户管理>认证服务器,然后单击“添加”按钮。

pfSense 使用Active Directory进行LDAP身份验证

在“服务器设置”区域,设置以下参数:

• Description name(描述名称): ACTIVE DIRECTORY
• Type(类型): LDAP

pfSense 使用Active Directory进行LDAP身份验证

在“ LDAP服务器设置”区域上,执行以下配置:

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

这里需要将IP地址更改为域控制器IP,其他信息根据你的网络环境来设置。

pfSense 使用Active Directory进行LDAP身份验证pfSense 使用Active Directory进行LDAP身份验证

单击保存按钮完成配置。

五、测试Active Directory身份验证

导航到诊断>认证测试,然后选择身份验证选项。

pfSense 使用Active Directory进行LDAP身份验证

选择活动目录身份验证服务器,输入管理员用户名及其密码,然后单击“测试”按钮。

pfSense 使用Active Directory进行LDAP身份验证

如果测试成功,则应该看到以下消息。

pfSense 使用Active Directory进行LDAP身份验证

六、设置pfSense-Active Directory组权限

导航到系统>用户管理,访问“组”选项卡,然后单击“添加”按钮。

pfSense 使用Active Directory进行LDAP身份验证

在“组编辑”页面上,设置以下参数:

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

单击保存按钮,返回到组配置页面。

pfSense 使用Active Directory进行LDAP身份验证

下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上,找到“分配的权限”区域,然后单击“添加”按钮。在“组”特权区域中,执行以下配置:

•分配权限-WebCfg - All pages

pfSense 使用Active Directory进行LDAP身份验证

单击保存按钮完成配置。

七、启用Active Directory身份验证

导航到系统>用户管理,访问“设置”选项卡。

pfSense 使用Active Directory进行LDAP身份验证

在“设置”页面上,在“认证服务器”栏选择“Active Directory”身份验证服务器”。

单击保存&测试按钮。

pfSense 使用Active Directory进行LDAP身份验证

配置完成后,从pfSense中注销,使用admin用户和Active Directory数据库中的密码登录。

•用户名:admin
•密码:输入Active Directory密码。

pfSense 使用Active Directory进行LDAP身份验证

至此,在pfSense中使用Active Directory数据库进行身份验证全部设置完成。


上一篇:java – LDAP绑定VS搜索


下一篇:java – 使用LdapTemplate的Spring嵌入式LDAP