admin login pfSense melalui RADIUS menggunakan Akun Direktori Aktif - Bagaimana-Untuk

admin login pfSense melalui RADIUS menggunakan Akun Direktori Aktif

Panduan ini akan memungkinkan Anda untuk mengatur otentikasi RADIUS untuk masuk ke firewall pfSense Anda.

Ini mengasumsikan Anda telah menginstal peran Server Kebijakan Jaringan. Jika Anda belum menginstal peran ini, lakukan ini sekarang melalui Add Roles and Features Wizard. Saya biasanya menginstal peran ini pada pengontrol domain.

Jika pengaturan tidak disebutkan dalam panduan ini, biarkan pengaturannya pada pengaturan standar.

Ini hanya akan bekerja pada pfSense v 2.3.1 atau yang lebih baru.

Bagian 1 adalah konfigurasi Windows. Bagian 2 adalah konfigurasi pfSense.

Total 6 langkah

Langkah 1: Bagian 1.1 Buat grup iklan


Buat grup lokal baru yang akan digunakan untuk memberikan anggota akses ke pfSense. Tambahkan anggota yang harus memiliki akses.

Saya telah memanggil grup pfSense.

Langkah 2: Bagian 1.2 Server Kebijakan Jaringan Klien RADIUS


Pertama kita perlu mendefinisikan klien RADIUS baru. pfSense akan menjadi klien yang menanyakan direktori aktif (via RADIUS) untuk mengotentikasi login. Klien RADIUS dan server menggunakan pasangan kunci yang cocok untuk mengotentikasi komunikasi satu sama lain.

-Server Manager - Alat - Server Kebijakan Jaringan - Klien dan Server RADIUS - Klien RADIUS - Tindakan - Baru

Tab-Pengaturan
--Nama ramah: Masukkan nama untuk klien ini. Saya telah menggunakan nama DNS firewall.
- Alamat: Masukkan alamat IP firewall pfSense Anda
--Pilih templat Rahasia Bersama yang ada: Tidak ada
--Hasilkan: Hasilkan rahasia bersama dan salin ini ke notepad, kita akan membutuhkan ini lagi nanti.
--Klik OK untuk menyelesaikan.

Langkah 3: Bagian 1.3 Kebijakan Jaringan Server Kebijakan Jaringan


Buat kebijakan yang digunakan untuk memberikan akses ke anggota grup AD.

-Server Manager - Alat - Server Kebijakan Jaringan - Kebijakan - Kebijakan Jaringan - Tindakan - Baru

Ini memulai panduan kebijakan Jaringan Baru

-Tentukan nama dan tipe koneksi
--Nama Polis: Masukkan nama untuk polis. Saya telah menggunakan ‘Kebijakan shr-gw1’.
--Jenis server akses jaringan: Tidak ditentukan
--Berikutnya

Kondisi -Tentukan
--Tambahkan .. - Grup Windows - [pilih grup yang Anda buat]
--Menambahkan..- Alamat IPv4 Klien - [masukkan alamat IP pfSense]
--Berikutnya

-Tentukan Izin Akses
- Akses diberikan
--Berikutnya

-Konfigurasikan Metode Otentikasi
- Otentikasi tidak terenkripsi (PAP, SPAP) - diaktifkan
- Semua jenis lainnya
-Berikutnya

-Konfigurasikan Kendala
--Tidak ada perubahan
--Berikutnya

Pengaturan -Configure
- Atribut AGIDUS - Standar - Tambah ... - Kelas - Tambahkan ... - String - [masukkan nama Grup Iklan yang Anda buat] - OK
(Catatan: string kelas akan diurai kembali ke pfSense di mana nama grup yang cocok dengan string ini harus ada. Untuk kesederhanaan saya telah menggunakan nama grup yang sama dalam AD dan pfSense, oleh karena itu string Kelas cocok dengan keduanya)

--Berikutnya
--Selesai

Langkah 4: Bagian 2.1 Server Otentikasi


Tambahkan server RADIUS.

-pfSense - Sistem - Pengelola Pengguna - Server Otentikasi - Tambah
--Nama Deskriptif: Nama Server RADIUS
--Type: RADIUS
--Hostname atau alamat IP: Masukkan nama DNS atau alamat IP
--Shared Secret: Masukkan rahasia yang Anda salin ke notepad di langkah sebelumnya
--Layanan yang Ditawarkan: Otentikasi dan Akuntansi
--Menyimpan

Langkah 5: Bagian 2.2 Grup


Tambahkan grup bayangan ke pfSense dengan nama yang sama dengan grup AD yang Anda buat.

-pfSense - Sistem - Pengelola Pengguna - Grup - Tambah
--Group Name: [masukkan nama yang sama dengan grup AD, ini adalah tempat string kelas diurai dari server RADIUS mencari nama grup ini]
--Scope: Lokal (Saya menguji dengan Remote dan itu bekerja dengan pengaturan itu juga)
- Keanggotaan grup: tidak ada anggota yang perlu ditambahkan
- Hak Istimewa yang Ditugaskan - Tambah - ‘WebCfg - Semua halaman’
--Menyimpan

Langkah 6: Bagian 2.3 Pengaturan


Aktifkan server RADIUS sebagai metode otentikasi

-pfSense - Sistem - Pengelola Pengguna - Pengaturan
--Athentication Server: [pilih server otentikasi Anda]
--Menyimpan

Anda sekarang harus dapat menambahkan pengguna ke grup AD dan masuk menggunakan kredensial AD Anda dengan akses penuh.

Anda dapat menggunakan metode yang sama ini untuk membuat banyak grup di pfSense dengan berbagai tingkat akses. Untuk melakukan ini, buat grup AD baru, Kebijakan Server Jaringan baru dengan string 'Kelas' yang berbeda untuk mem-parse kembali ke pfSense, lalu buat grup pfSense dengan nama yang sama dan berikan grup hanya akses ke halaman yang Anda kehendaki memiliki.