pfSense 使用Active Directory进行LDAP身份验证

在本教程中，介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。

 

一、配置Windows域控制器防火墙

首先，我们需要在Windows域控制器上创建防火墙规则，该防火墙规则将允许pfSense服务器查询Active Directory数据库。在域控制器上，打开名为“高级安全Windows防火墙”的应用程序，创建一个新的入站防火墙规则。

选择端口选项。

选择“ TCP”选项，选择“指定本地端口”选项，输入TCP端口389。

选择“允许连接”选项。

选中DOMAIN选项，选中PRIVATE选项，选中PUBLIC选项。

输入防火墙规则的描述。

所需的防火墙规则创建完毕，此规则将允许pfSense查询Active Directory数据库。

二、Windows域帐户创建

接下来，我们需要在Active Directory数据库上至少创建2个帐户。admin帐户将用于登录pfSense Web界面。bind帐户将用于查询Active Directory数据库。

在域控制器上，打开Active Directory用户和计算机

在“用户”容器内创建一个新帐户。

创建一个新帐户，名为：admin，配置给admin用户的密码为：123qwe.。

该帐户将用于在pfSense Web界面上以admin身份进行身份验证。

再创建一个名为bind的新帐户，密码为：123qwe.。

该帐户将用于查询Active Directory数据库中存储的密码。

Active Directory帐户创建完毕。

三、Windows域组创建

接下来，我们需要在Active Directory数据库上至少创建1个组。

在域控制器上，打开Active Directory用户和计算机，在“用户”容器内创建一个新组。

创建pfsense-admin的新组，该组的成员在pfSense Web界面上具有管理员级权限。

再将admin用户添加为pfsense-admin组的成员。

 

四、在pfSense上设置LDAP身份验证

 

 

导航到系统>用户管理>认证服务器，然后单击“添加”按钮。

在“服务器设置”区域，设置以下参数：

• Description name(描述名称): ACTIVE DIRECTORY
• Type（类型）: LDAP

在“ LDAP服务器设置”区域上，执行以下配置：

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

这里需要将IP地址更改为域控制器IP，其他信息根据你的网络环境来设置。

单击保存按钮完成配置。

五、测试Active Directory身份验证

导航到诊断>认证测试，然后选择身份验证选项。

选择活动目录身份验证服务器，输入管理员用户名及其密码，然后单击“测试”按钮。

如果测试成功，则应该看到以下消息。

六、设置pfSense-Active Directory组权限

导航到系统>用户管理，访问“组”选项卡，然后单击“添加”按钮。

在“组编辑”页面上，设置以下参数：

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

单击保存按钮，返回到组配置页面。

下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上，找到“分配的权限”区域，然后单击“添加”按钮。在“组”特权区域中，执行以下配置：

•分配权限-WebCfg - All pages

单击保存按钮完成配置。

七、启用Active Directory身份验证

导航到系统>用户管理，访问“设置”选项卡。

在“设置”页面上，在“认证服务器”栏选择“Active Directory”身份验证服务器”。

单击保存&测试按钮。

配置完成后，从pfSense中注销，使用admin用户和Active Directory数据库中的密码登录。

•用户名：admin
•密码：输入Active Directory密码。

至此，在pfSense中使用Active Directory数据库进行身份验证全部设置完成。