在本教程中,介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。

 

一、配置Windows域控制器防火墙

首先,我们需要在Windows域控制器上创建防火墙规则,该防火墙规则将允许pfSense服务器查询Active Directory数据库。在域控制器上,打开名为“高级安全Windows防火墙”的应用程序,创建一个新的入站防火墙规则。

pfSense 使用Active Directory进行LDAP身份验证_第1张图片

选择端口选项。

pfSense 使用Active Directory进行LDAP身份验证_第2张图片

选择“ TCP”选项,选择“指定本地端口”选项,输入TCP端口389。

pfSense 使用Active Directory进行LDAP身份验证_第3张图片

选择“允许连接”选项。

pfSense 使用Active Directory进行LDAP身份验证_第4张图片

选中DOMAIN选项,选中PRIVATE选项,选中PUBLIC选项。

pfSense 使用Active Directory进行LDAP身份验证_第5张图片

输入防火墙规则的描述。

pfSense 使用Active Directory进行LDAP身份验证_第6张图片

所需的防火墙规则创建完毕,此规则将允许pfSense查询Active Directory数据库。

二、Windows域帐户创建

接下来,我们需要在Active Directory数据库上至少创建2个帐户。admin帐户将用于登录pfSense Web界面。bind帐户将用于查询Active Directory数据库。

在域控制器上,打开Active Directory用户和计算机

在“用户”容器内创建一个新帐户。

pfSense 使用Active Directory进行LDAP身份验证_第7张图片

创建一个新帐户,名为:admin,配置给admin用户的密码为:123qwe.。

该帐户将用于在pfSense Web界面上以admin身份进行身份验证。

pfSense 使用Active Directory进行LDAP身份验证_第8张图片pfSense 使用Active Directory进行LDAP身份验证_第9张图片

再创建一个名为bind的新帐户,密码为:123qwe.。

该帐户将用于查询Active Directory数据库中存储的密码。

pfSense 使用Active Directory进行LDAP身份验证_第10张图片pfSense 使用Active Directory进行LDAP身份验证_第11张图片

Active Directory帐户创建完毕。

三、Windows域组创建

接下来,我们需要在Active Directory数据库上至少创建1个组。

在域控制器上,打开Active Directory用户和计算机,在“用户”容器内创建一个新组。

pfSense 使用Active Directory进行LDAP身份验证_第12张图片

创建pfsense-admin的新组,该组的成员在pfSense Web界面上具有管理员级权限。

pfSense 使用Active Directory进行LDAP身份验证_第13张图片

再将admin用户添加为pfsense-admin组的成员。

pfSense 使用Active Directory进行LDAP身份验证_第14张图片

 

四、在pfSense上设置LDAP身份验证

 

 

导航到系统>用户管理>认证服务器,然后单击“添加”按钮。

pfSense 使用Active Directory进行LDAP身份验证_第15张图片

在“服务器设置”区域,设置以下参数:

• Description name(描述名称): ACTIVE DIRECTORY
• Type(类型): LDAP

pfSense 使用Active Directory进行LDAP身份验证_第16张图片

在“ LDAP服务器设置”区域上,执行以下配置:

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

这里需要将IP地址更改为域控制器IP,其他信息根据你的网络环境来设置。

pfSense 使用Active Directory进行LDAP身份验证_第17张图片pfSense 使用Active Directory进行LDAP身份验证_第18张图片

单击保存按钮完成配置。

五、测试Active Directory身份验证

导航到诊断>认证测试,然后选择身份验证选项。

pfSense 使用Active Directory进行LDAP身份验证_第19张图片

选择活动目录身份验证服务器,输入管理员用户名及其密码,然后单击“测试”按钮。

pfSense 使用Active Directory进行LDAP身份验证_第20张图片

如果测试成功,则应该看到以下消息。

pfsense活动目录登录测试

六、设置pfSense-Active Directory组权限

导航到系统>用户管理,访问“组”选项卡,然后单击“添加”按钮。

pfSense 使用Active Directory进行LDAP身份验证_第21张图片

在“组编辑”页面上,设置以下参数:

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

单击保存按钮,返回到组配置页面。

pfSense 使用Active Directory进行LDAP身份验证_第22张图片

下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上,找到“分配的权限”区域,然后单击“添加”按钮。在“组”特权区域中,执行以下配置:

•分配权限-WebCfg - All pages

pfSense 使用Active Directory进行LDAP身份验证_第23张图片

单击保存按钮完成配置。

七、启用Active Directory身份验证

导航到系统>用户管理,访问“设置”选项卡。

pfSense 使用Active Directory进行LDAP身份验证_第24张图片

在“设置”页面上,在“认证服务器”栏选择“Active Directory”身份验证服务器”。

单击保存&测试按钮。

pfSense 使用Active Directory进行LDAP身份验证_第25张图片

配置完成后,从pfSense中注销使用admin用户和Active Directory数据库中的密码登录。

•用户名:admin
•密码:输入Active Directory密码。

pfSense 使用Active Directory进行LDAP身份验证_第26张图片

至此,在pfSense中使用Active Directory数据库进行身份验证全部设置完成。