当前位置:首页 > 技术教程 > 正文

pfSense 对接 LDAP 教程

在本教程中,介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。数据库

 

1、配置Windows域控制器防火墙

首先,咱们须要在Windows域控制器上建立防火墙规则,该防火墙规则将容许pfSense服务器查询Active Directory数据库。在域控制器上,打开名为“高级安全Windows防火墙”的应用程序,建立一个新的入站防火墙规则。windows

pfSense 对接 LDAP 教程  第1张

选择端口选项。安全

pfSense 对接 LDAP 教程  第2张

选择“ TCP”选项,选择“指定本地端口”选项,输入TCP端口389。服务器

pfSense 对接 LDAP 教程  第3张

选择“容许链接”选项。网络

pfSense 对接 LDAP 教程  第4张

选中DOMAIN选项,选中PRIVATE选项,选中PUBLIC选项。ide

pfSense 对接 LDAP 教程  第5张

输入防火墙规则的描述。测试

pfSense 对接 LDAP 教程  第6张

所需的防火墙规则建立完毕,此规则将容许pfSense查询Active Directory数据库。spa

2、Windows域账户建立

接下来,咱们须要在Active Directory数据库上至少建立2个账户。admin账户将用于登陆pfSense Web界面。bind账户将用于查询Active Directory数据库。3d

在域控制器上,打开Active Directory用户和计算机code

在“用户”容器内建立一个新账户。

pfSense 对接 LDAP 教程  第7张

建立一个新账户,名为:admin,配置给admin用户的密码为:123qwe.。

该账户将用于在pfSense Web界面上以admin身份进行身份验证。

pfSense 对接 LDAP 教程  第8张pfSense 对接 LDAP 教程  第9张

再建立一个名为bind的新账户,密码为:123qwe.。

该账户将用于查询Active Directory数据库中存储的密码。

pfSense 对接 LDAP 教程  第10张pfSense 对接 LDAP 教程  第11张

Active Directory账户建立完毕。

3、Windows域组建立

接下来,咱们须要在Active Directory数据库上至少建立1个组。

在域控制器上,打开Active Directory用户和计算机,在“用户”容器内建立一个新组。

pfSense 对接 LDAP 教程  第12张

建立pfsense-admin的新组,该组的成员在pfSense Web界面上具备管理员级权限。

pfSense 对接 LDAP 教程  第13张

再将admin用户添加为pfsense-admin组的成员。

pfSense 对接 LDAP 教程  第14张

 

4、在pfSense上设置LDAP身份验证

 

 

导航到系统>用户管理>认证服务器,而后单击“添加”按钮。

pfSense 对接 LDAP 教程  第15张

在“服务器设置”区域,设置如下参数:

• Description name(描述名称): ACTIVE DIRECTORY
• Type(类型): LDAP

pfSense 对接 LDAP 教程  第16张

在“ LDAP服务器设置”区域上,执行如下配置:

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

这里须要将IP地址更改成域控制器IP,其余信息根据你的网络环境来设置。

pfSense 对接 LDAP 教程  第17张pfSense 对接 LDAP 教程  第18张

单击保存按钮完成配置。

5、测试Active Directory身份验证

导航到诊断>认证测试,而后选择身份验证选项。

pfSense 对接 LDAP 教程  第19张

选择活动目录身份验证服务器,输入管理员用户名及其密码,而后单击“测试”按钮。

pfSense 对接 LDAP 教程  第20张

若是测试成功,则应该看到如下消息。

pfSense 对接 LDAP 教程  第21张

6、设置pfSense-Active Directory组权限

导航到系统>用户管理,访问“组”选项卡,而后单击“添加”按钮。

pfSense 对接 LDAP 教程  第22张

在“组编辑”页面上,设置如下参数:

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

单击保存按钮,返回到组配置页面。

pfSense 对接 LDAP 教程  第23张

下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上,找到“分配的权限”区域,而后单击“添加”按钮。在“组”特权区域中,执行如下配置:

•分配权限-WebCfg - All pages

pfSense 对接 LDAP 教程  第24张

单击保存按钮完成配置。

7、启用Active Directory身份验证

导航到系统>用户管理,访问“设置”选项卡。

pfSense 对接 LDAP 教程  第25张

在“设置”页面上,在“认证服务器”栏选择“Active Directory”身份验证服务器”。

单击保存&测试按钮。

pfSense 对接 LDAP 教程  第26张

配置完成后,从pfSense中注销使用admin用户和Active Directory数据库中的密码登陆。

•用户名:admin
•密码:输入Active Directory密码。

pfSense 对接 LDAP 教程  第27张

至此,在pfSense中使用Active Directory数据库进行身份验证所有设置完成。