Bài viết này Blog Thư viện hay sẽ hướng dẫn bạn cách cấu hình xác thực LDAP đồng bộ User AD lên pfSense, đây là một tính năng được người Quản trị viên sử dụng khá phổ biến không chỉ trên pfSense mà còn trên nhiều loại firewall khác trên thị trường.
Khi nào nên cấu hình xác thực LDAP đồng bộ User AD lên pfSense? Đó là khi hệ thống mạng công ty bạn đang sử dụng firewall pfSense và máy chủ AD (Active Directory) thì bạn nên cấu hình xác thực LDAP đồng bộ User AD lên pfSense để vẫn có thể quản trị tập trung User trên AD mà không phải mất thời gian tạo thêm User trên pfSense.
Ví dụ: Bạn Nguyễn Văn A có User trên AD là a.nguyen, bạn Nguyễn Văn A yêu cầu sử dụng OpenVPN trên pfSense khi ở bên ngoài công ty. Nếu như không sử dụng LDAP thì trên pfSense Quản trị viên phải tạo một user khác cho bạn Nguyễn Văn A truy cập OpenVPN. Còn nếu sử dụng LDAP thì bạn Nguyễn Văn A chỉ cần sử dụng User a.nguyen đã có sẵn để truy cập OpenVPN.
Hướng dẫn cấu hình xác thực LDAP đồng bộ User AD lên pfSense này được thuvienhay.com thực hiện trên phên bản pfSense 2.6.x.
Cấu hình xác thực LDAP đồng bộ User AD lên pfSense
Bước 1: Tạo user xác thực
Trên AD, bạn tạo 1 user để đại diện cho AD xác thực với pfSense.
Bước 2: Cấu hình xác thực bằng LDAP
1. Bạn đăng nhập tài khoản admin và giao diện quản trị pfSense, tiếp theo truy cập vào System -> User Manager.
2. Bạn vào mục Authentication Servers -> chọn + Add
3. Bước này bạn nhập thông tin cấu hình như sau:
Ví dụ: Hệ thống mạng có AD với Domain Controller được đặt là: thuvienhay.com, bạn muốn đồng bộ các user nằm trong OU IT thuộc OU Van Phong lên pfSense.
- Descriptive name : Bạn có thể nhập tên tùy ý (ký tự viết liền không dấu)
- Type: LDAP
- Hostname or IP address: thuvienhay.com hoặc IP của Domain Controller
- Port value: 389
- Transport: Standard TCP
- Peer Certificate Authority: Global Root CA List
- Protocol version: 3
- Server Timeout: 500
- Search scope – Level: Entire Subtree
- Search scope – BaseDN: DC=thuvienhay,DC=com
- Authentication containers : OU=IT,OU=Van Phong TSC,DC=thuvienhay,DC=com
- Extended query: Không chọn
- Bind anonymous: Không chọn
- Bind credentials: thuvienhay\pfsense và password (user đã tạo trên AD ở bước 1)
- User naming attribute: samAccountName
- Group naming attribute: cn
- Group member attribute: memberOf
- RFC 2307 Groups: Không chọn
- Group Object Class: posixGroup
- Shell Authentication Group DN: Để trống
- UTF8 Encode: Không chọn
- Username Alterations: Không chọn
- Allow unauthenticated bind: Không chọn
Chọn Save.
Bước 3: Thiết lập xác thực bằng LDAP
1. Bạn truy cập vào System -> User Manager -> Settings
- Session timeout: Thời gian tính bằng phút để hết hạn các phiên quản lý nhàn rỗi. Mặc định là 4 giờ (240 phút). Nhập 0 để không bao giờ hết hạn phiên. LƯU Ý: Đây là một rủi ro bảo mật!, Bạn nên để số phút càng thấp càng tốt.
- Authentication Server: LDAP.thuvienhay.com
- Shell Authentication: Không chọn
- Auth Refresh Time: Để mặc định
Chọn Save & Test.
2. Kết quả thiết lập xác thực bằng LDAP thành công.
Bước 4: Kiểm tra User trên AD đồng bộ lên pfSense
1. Bạn truy cập vào Diagnostics -> Authentication -> nhập thông tin user và password trên AD -> chọn Test.
2. Kết quả thông báo User đã đồng bộ LDAP với pfSense thành công.
Bước 5: Tạo group và phân quyền
Bước này chúng ta sẽ tạo group trên pfSense để phân quyền user, lưu ý group này phải trùng tên với group trên AD và group trên AD phải nằm trong OU được cho phép chứng thực bằng LDAP.
Ví dụ: Trên AD bạn có group IT nằm trong OU IT và OU IT đã được cho phép chứng thực bằng LDAP (ở bước 2.3)
1. Bạn vào System -> User Manager -> Groups -> chọn + Add để tạo group mới.
2. Bạn cầu hình những thông tin như sau:
- Group name: IT
- Scope: Remote
- Description: Mô tả tùy ý
- Group membership: admin (mặc định)
Bấm chọn Save.
3. Bạn chọn chỉnh sửa Group vừa tạo để phân quyền cho User trong Group.
4. Chọn + Add
5. Bạn có thể lựa chọn từng loại quyền cho Group, ở đây là Group IT nên mình cấp quyền cao nhất cho Group: WebCfg – All pages -> chọn Save để lưu cấu hình lại.
6. Bây giờ bạn có thể sử dụng User trong Group IT trên AD để đăng nhập và quản trị pfSensen rồi.
Bài viết này đã hướng dẫn bạn cách cấu hình xác thực LDAP đồng bộ User AD lên pfSense. Chúc bạn thực hiện thành công.
Nếu Bạn thấy nội dung này có giá trị, hãy mời Mình một ly cà phê nhé!
Xin chào các Bạn, Mình là Đăng Lê, đang làm việc trong lĩnh vực CNTT. Mình là người yêu thích viết blog, đang cố gắng để trở thành một blogger chuyên nghiệp. Với blog thuvienhay.com, Mình mong muốn được chia sẻ những kiến thức, kinh nghiệm đến với mọi người.
Mong các bạn hãy theo dõi và ủng hộ blog thuvienhay.com. Chân thành cảm ơn!