Winkelwagen

    Sorry, we konden geen resultaten vinden voor jouw zoekopdracht.

    pfSense gebruikers beheren via een Active Directory

    pfSense-firewalls worden veel gebruikt voor Windows-netwerken: verkeer van/naar Windows-servers verloopt via de pfSense-firewall en de Windows Servers in het netwerk kunnen zo niet rechtstreeks aangevallen worden door kwaadwillenden.

    Windows-netwerken maken meestal gebruik van een Active Directory om o.a. te bepalen welke gebruikers en groepen rechten hebben tot bepaalde bronnen binnen een Windows-netwerk, bijvoorbeeld tot gedeelde netwerkmappen.

    pfSense heeft ingebouwde tools om ook de gebruikers waarmee je je pfSense-firewall beheert, te beheren via een Active Directory. In deze handleiding laten we zien hoe je dat doet.

    Voor deze handleiding is minimaal een private network met daarin opgenomen een Windows Server die geconfigureerd is als Active Directory Domain Controller en een pfSense-firewall nodig.


     

    Stap 1

    Verbind met je DC via Remote Desktop of de VPS-console.

    Voor de communicatie met een Domain Controller (DC) gebruikt Windows het LDAP-protocol. Dit protocol kan misbruikt worden in (D)DoS-aanvallen. Wij monitoren daarom ons netwerk op publiekelijk toegankelijke LDAP-servers en blokkeren indien nodig de LDAP-poort.

    Als je de LDAP-poort (UDP) op je DC al hebt beveiligd zodat enkel servers op je private network daarmee kunnen verbinden, ga dan verder met stap 5.


     

    Stap 2

    Klik op de startknop en gebruik de zoekterm 'Firewall'. Je kunt als alternatief ook in de Server Manager onder 'Tools' de firewall terugvinden. Klik in de zoekresultaten op 'Windows Firewall with Advanced Security'.

    windows search firewall


     

    Stap 3

    Klik op 'Inbound Rules'. Zeer waarschijnlijk heb je al twee LDAP-regels in dit overzicht staan met de naam 'Active Directory Domain Controller - LDAP' voor TCP-In en UDP-In, of heb je al een eigen LDAP-regel gemaakt.

    Dubbelklik nu op de LDAP-regel voor UDP-verkeer.

    firewall ldap udp in


     

    Stap 4

    Controleer eerst in het tabblad 'General' dat de optie 'Allow the connection' is geselecteerd.

    firewall ldap udp in general allow

    Klik vervolgens op het tabblad 'Scope' en vervolgens onder 'Remote IP address' op 'Add'.

    windows firewall ldap udp in general allow

    Geef het subnet (je IP-range) op dat je gebruikt voor je private network (zie deze handleiding), bijvoorbeeld 192.169.0.0/24 en klik op 'OK'.

    firewall rule add ip address

    Klik op 'Apply' en 'OK' om de wijzigingen toe te passen en het venster te sluiten.


    Stap 5

    Vervolgens maken we de benodigde gebruikers en groep aan in de Active Directory.

    Klik op de Windows Start-knop, type 'Active Directory Users and Computers' en klik op het resultaat.

    windows start ad users and computers


     

    Stap 6

    Klik op de naam van je domein en vervolgens op 'Users'.

    windows aduc domain users


     

    Stap 7

    Klik in de lijst met gebruikers met de rechtermuisknop op een lege plek en selecteer 'New' > 'User', of gebruik het snelkoppelingsicoontje bovenaan het venster.

    windows aduc new user


     

    Stap 8

    Geef als voor- en gebruikersnaam de naam 'admin' op en klik op 'Next'. Admin is de gebruikersnaam die we gebruiken voor de pfSense webinterface.

    aduc new user admin


     

    Stap 9

    Geef een wachtwoord op en klik op 'Next'.

    aduc new user admin pass


     

    Stap 10

    Klik op 'Finish' om de wizard te sluiten. Herhaal nu stap 7 t/m 10 en maak nog een gebruiker aan bijvoorbeeld met de naam 'pfldap'. Dit account gebruiken we voor de communicatie met de Active Directory database (in pfSense is dit de Bind gebruiker).

    aduc new user admin pass


     

    Stap 11

    Vervolgens maken we een nieuwe groep aan waarvan de leden beheerrechten hebben op de pfSense webinterface.

    Klik in de lijst met gebruikers met de rechtermuisknop op een lege plek en selecteer 'New' > 'Group', of gebruik het snelkoppelingsicoontje bovenaan het venster om een nieuwe groep aan te maken.

    windows aduc add new group


     

    Stap 12

    Geef de groep een naam, bijvoorbeeld 'pfsense', en klik op 'OK'.

    aduc new group pfsense


     

    Stap 13

    Dubbelklik in de ADUC-tool op de naam van de groep 'pfsense' en klik op het tabblad 'Members' en vervolgens op 'Add'.

    aduc pfsense members

    Zoek op de naam 'Admin'. Je krijgt een scherm te zien met de melding dat er meerdere resultaten zijn gevonden (Admin en Administrator). Selecteer 'Admin' en klik twee maal op 'OK'.

    aduc search user admin

    Je bent nu terug in het pfsense Properties-scherm. Klik op 'Apply' > 'OK' om de wijzigingen toe te passen en het venster te sluiten.


     

    Stap 14

    Log nu in op de pfSense webinterface als admin en klik op in het bovenste menu nu op 'System' > 'User Mamager'.

    pfsense system user manager


     

    Stap 15

    Klik op het tabblad 'Authentication Servers' en vervolgens op 'Add'.

    pfsense authentication add server


     

    Stap 16

    Vul het formulier in zoals in het voorbeeld hieronder en gebruik bij de volgende punten je eigen gegevens:

    • Hostname or IP address: Het IP-adres of de subdomeinnaam van je Domain Controller.
    • Base DN: De domeinnaam van je Windows-domein, zoals je die hebt ingesteld in stap 13 van onze Active Directory tutorial. De domeinnaam splits je op door voor ieder onderdeel DC= te plaatsen. Voor het domein transip.local wordt dit bijvoorbeeld DC=transip,DC=local (geen spaties!).
    • Authentication Containers: De naam van de map in je active directory waar je gebruikers en groepen toevoegt met de toevoeging CN= (eigenlijk altijd 'CN=Users') in combinatie met je Base DN (zie vorig punt), bijvoorbeeld CN=Users,DC=transip,DC=local
    • Bind credentials: De toevoeging CN= met de naam van de Bind-gebruiker uit stap 10 van deze handleiding, samen met de Authentication Containers, bijvoorbeeld CN=pfldap,CN=Users,DC=transip,DC=local

    pfsense authentication servers edit


     

    Stap 17

    Klik nu in de User Manager op het tabblad 'Groups' en vervolgens op 'Add'.

    pfsense user manager add groups


     

    Stap 18 

    Geef een groepsnaam op, bijvoorbeeld 'pfsense' of 'pfsense-admins', zet de scope op 'remote', geef de groep een omschrijving en maak de gebruiker 'Admin' een lid van deze groep. Klik vervolgens op 'Save'.

    pfsense user manager groups edit


     

    Stap 19

    Een belangrijke optie ontbreekt bij het aanmaken van de groep, maar kan wel naderhand worden aangepast. Klik achter de naam van je nieuwe groep op het potlood om deze aan te passen.

    pfsense user manager groups action edit


     

    Stap 20

    Zoals je ziet zijn er nog geen privileges aan de groep toegewezen. Klik op 'Add' om een privilege toe te voegen.

    pfsense user manager edit group add privileges

    Selecteer als privilege de optie 'WebCfg - All Pages' om leden van deze groep admin rechten te geven en klik onderaan op 'Save'.

    pfsense user manager groups edit privileges


     

    Stap 21

    Tijd voor een snelle test: Klik in het bovenste menu op 'Diagnostiscs' en selecteer de optie 'Authentication'.

    pfsense diagnostiscs authentication

    Selecteer als 'Authentication Server' de naam die je hebt gebruik in stap 16 en als username en password de admin-gebruikersnaam en wachtwoord die je in je Active Directory in stap 7 t/m 10 hebt toegevoegd. Klik daarna op 'Test'. Als alles goed is gegaan krijg je de melding in de screenshot hieronder te zien. Het klopt dat je hier geen groepen te zien krijgt waar de user een lid van is.

    pfsense diagnostics test authentication


     

    Stap 22

    Ga terug naar de User Manager (onder System) en klik deze keer op 'Settings'. Verander de 'Authentication Server' naar de server die je in stap 16 hebt ingesteld en klik op 'Save'.

    pfsense user manager settings active directory

    Surprise! Je hoeft nu niet opnieuw in te loggen, maar wanneer je de volgende keer inlogt in de pfSense-webinterface gebruik je de gebruiker Admin en het bijbehorende wachtwoord zoals je die in je Active Directory hebt ingesteld.


     

    Daarmee zijn we aan het eind gekomen van deze handleiding over het beheren van pfSense-gebruikers in een Active Directory.

    Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op