Chứng Thực Active Directory Bằng Radius Trên pfSense

8

Bài viết này mình sẽ hướng dẫn bạn cách chứng thực Ative Directory bằng Radius trên pfSense. Bài lab có sử dụng máy chủ Active Directory chạy Windows Server 2012.

Trước tiên, tại máy chủ Active Directory, bạn mở ứng dụng Server Manager.

Truy cập menu Manage và bấm vào Add roles and features.

windows 2012 add role Chứng Thực Active Directory Bằng Radius Trên pfSense

Đi đến Server roles, chọn Network Policy and Access Service.

Bấm vào nút Next.

Network-Policy-and-Access-Service Chứng Thực Active Directory Bằng Radius Trên pfSense

Tiếp tục. bấm vào Add features.

network policy features Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình Role services, bấm vào nút Next.

network policy server Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn Install.

radius server installation on windows Chứng Thực Active Directory Bằng Radius Trên pfSense

Như vậy là bạn đã hoàn thành cài đặt Radius Server trên Windows 2012.

Tích hợp Radius Server vào Active Directory :

Trước tiên, chúng ta cần tạo 1 account vào database của Active Directory.

Account admin sẽ được dùng để logon vào giao diện quản trị web của pfSense.

Tại máy Domain controller, mở ứng dụng Active Directory Users and Computers.

Tạo user bên trong OU Users.

Zabbix active directory account Chứng Thực Active Directory Bằng Radius Trên pfSense

Tạo một user tên admin. Password : 123qwe.

Account này sẽ được dùng để chứng thực khi người dùng đăng nhập vào giao diện quản trị web của pfSense.

active directory admin account Chứng Thực Active Directory Bằng Radius Trên pfSense

new object user Chứng Thực Active Directory Bằng Radius Trên pfSense

Tiếp theo, chúng ta sẽ tạo 1 group trong Active Directory.

Mở  Active Directory Users and Computers, tạo group mới trong OU Users.

Grafana-active-directory-group Chứng Thực Active Directory Bằng Radius Trên pfSense

Tạo group mới tên : pfsense-admin

pfsense active directory group Chứng Thực Active Directory Bằng Radius Trên pfSense

Add user admin vào nhóm.

pfsense admin properties Chứng Thực Active Directory Bằng Radius Trên pfSense

Add thiết bị client vào Radius Server.

Trong Radius server, mở ứng dụng Network Policy Server.

Bạn cần chứng thực Radius server trong database của Active Directory.

Chuột phải lên NPS (Local) và chọn Register server in Active Directory option.

authorize radius server on windows Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình xác nhận, bấm nút OK.

Tiếp theo, bạn cần cấu hình Radius client. Radius client là những thiết bị được cho phép gửi yêu cầu chứng thực đến Radius Server. Lưu ý : Radius client và Radius user là 2 khái niệm khác nhau, chúng ta tránh nhầm lẫn.

Chuột phải lên folder Radius Clients và chọn New option.

pfsense radius client Chứng Thực Active Directory Bằng Radius Trên pfSense

Dưới đây là ví dụ cấu hình Radius Client cho phép pfSense connect tới Radius Server.

Thực hiện những cấu hình sau :

  • Friendly name to the device – mô tả về pfSense
  • Device IP Address – địa chỉ IP của pfSense firewall
  • Device Shared secret – kamisama123

Shared secret được dùng để chứng thực thiết bị muốn kết nối đến Radius Server.

Như vậy là bạn đã hoàn thành cấu hình Radius Client.

Cấu hình Network Policy :

Tiếp theo, bạn cần tạo Network Policy để cho phép chứng thực.

Chuột phải lên folder Network Policies và chọn New option.

Nhập tên vào Network Policy và bấm vào nút Next.

nps network policy name Chứng Thực Active Directory Bằng Radius Trên pfSense

Bấm nút Add Condition.

Chúng ta sẽ cho phép user của nhóm PFSENSE-ADMIN được chứng thực.

pfsense radius user group Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn User Groups và bấm Add.

nps user group condition Chứng Thực Active Directory Bằng Radius Trên pfSense

Bấm vào Add Groups và chọn PFSENSE-ADMIN.

pfsense admin radius group Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn option Access Granted và bấm vào Next. Tùy chọn này cho phép group PFSENSE-ADMIN được chứng thực trên Radius Server.

NPS-Access-granted Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình Authentication Methods, chọn option Unencrypted authentication (PAP, SPAP).

Radius server authentication method Chứng Thực Active Directory Bằng Radius Trên pfSense

Màn hình cảnh báo xuất hiện, chọn No.

NPS-Warning-message Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình cấu hình Radius, chọn Radius Attribute là Standard, và bấm vào nút Add.

pfsense radius nps configure settings Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn Attribute Class và bấm nút Add :

pfsense radius nps class Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn option String và nhập tên Group mà ta đã tạo trước đó. Trong ví dụ của mình, mình đã tạo Group trong Active Directory với tên là PFSENSE-ADMIN.

pfsense active directory radius attribute information Chứng Thực Active Directory Bằng Radius Trên pfSense

Radius Server sẽ trả thông tin Class này về lại firewall pfSense.

PfSense sẽ dùng thông tin class này để set user là thành viên của group pfSense admin. Lưu ý rằng Group này phải được tạo sẵn trong Active Directory, và trên cả pfSense.

pfsense-radius-network-policy-settings-nps Chứng Thực Active Directory Bằng Radius Trên pfSense

Kiểm tra lại cấu hình và bấm Finish để hoàn thành cài đặt.

pfsense active directory authentication summary Chứng Thực Active Directory Bằng Radius Trên pfSense

Cấu hình chứng thực Radius trên pfSense sử dụng Active Directory :

Mở trình duyệt, đăng nhập username và password để vào Dashboard. Tại menu System, chọn option User Manager.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình User Manager, truy cập tab Authentications servers và bấm vào nút Add.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở mục Server Settings, thực hiện những cấu hình sau :

  • Description name: ACTIVE DIRECTORY
  • Type: RADIUS

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình Radius Server Settings, thực hiện những cấu hình sau :

  • Protocol – PAP
  • Hostname or IP address – 192.168.15.10
  • Shared Secret – The Radius Client shared secret (kamisama123)
  • Services Offered – Authentication and Accounting
  • Authentication Port – 1812
  • Acconting Port – 1813
  • Authentication Timeout – 5

Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn Save để lưu lại cấu hình. Như vậy là mình đã hoàn thành cấu hình chứng thực Radius trên pfSense.

PFSense Radius – Test chứng thực Active Directory :

Truy cập menu Diagnostics và chọn option Authentication.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Chọn server chứng thực Active Directory.

pfsense ldap authentication test Chứng Thực Active Directory Bằng Radius Trên pfSense

Nhập vào username của admin, password và bấm nút Test.

Nếu test thành công, bạn sẽ thấy dòng tin nhắn sau.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Như vậy là bạn đã hoàn thành cấu hình chứng thực Radius server trên pfSense sử dụng Active Directory.

PFSense – Active Directory Group Permission :

Truy cập menu System và chọn User Manager :

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình User Manager, truy cập tab Groups, và click vào nút Add.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình tạo Group, thực hiện những cấu hình sau :

  • Group name – pfsense-admin
  • Scope – Remote
  • Description – Active Directory group

Bấm vào nút Save, bạn sẽ được chuyển về trang cấu hình Group.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Tiếp theo, bạn cần edit quyền của nhóm pfsense-admin.

Tại properties của group pfsense-admin, đi đến phần Assigned Privileges và click vào nút Add.

Ở khu vực Group privilege, thực hiện những cấu hình sau :

  • Assigned privileges – WebCfg – All pages

Chứng Thực Active Directory Bằng Radius Trên pfSense

Bấm vào nút Save để kết thúc cấu hình.

PFSense – enable chứng thực Active Directory.

Truy cập menu System và chọn option User Manager.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình User Manager, truy cập tab Settings.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Ở màn hình Settings, chọn chứng thực Active Directory server.

pfsense active directory authentication settings Chứng Thực Active Directory Bằng Radius Trên pfSense

Bấm vào nút Save.

Sau khi hoàn tất cấu hình, bạn cần log off khỏi giao diện web của pfSense.

Thử login vào bằng username và password có trong Active Directory.

Username : admin

Password : pass trong Active Directory.

Chứng Thực Active Directory Bằng Radius Trên pfSense

Như vậy là chúng ta đã cấu hình thành công pfSense chứng thực bằng cơ sở dữ liệu của Active Directory.

Cài Đặt Và Cấu Hình Squid Proxy Trên pfSense

Hướng Dẫn Cài Đặt Firewall pfSense

Cài Đặt Failover và Load Balancing Cho pfSense

Làm Quen Menu Cấu Hình pfSense Bằng Giao Diện Web

Hướng Dẫn Tạo Và Cấu Hình Rule Trong pfSense

Cấu Hình openvpn Trên pfSense

Cấu Hình Cài Đặt Captive Portal pfSense

Cấu hình Traffic Sharper Trên pfSense

Reset Firewall pfSense Về Factory Setting

Cấu Hình NTP Server cho pfSense

Cấu Hình VLAN Cho Firewall pfSense

Cấu Hình Link Aggregation Trên pfSense

Backup & Restore Trên pfSense

Cấu Hình Remote Syslog trên pfSense

Cấu Hình Outbound Proxy Cho pfSense

Đổi Ngôn Ngữ Cho Firewall pfSense

Cấu Hình DHCP Relay Trên pfSense

Chứng Thực Radius Trên pfSense Bằng Freeradius

BÌNH LUẬN

Please enter your comment!
Please enter your name here