pfSense LDAP

LDAP バインダーを作成する

LDAPバインダー」ページから「pfsense」という名前の新しい LDAP バインダーを作成します。バインダーのパスワードをコピーして、後で使用できるように保存します。

 
 
認証局情報の入力

📘 pfSense のバージョンを確認する

pfSense 2.4.2 以降では、認証局情報を入力する必要はありません。

次に、Foxpass 認証局を pfSense に追加する必要があります。Linux / macOS で openssl 経由で CA を取得します。

Shell

openssl s_client -connect ldap.foxpass.com:636 -showcerts

 

最初の「BEGIN CERTIFICATE」から最後の「END CERTIFICATE」までのテキストをコピーし、「Certificate data」フィールドに貼り付けます。

pfSense_LDAP01_20230207.png

 
 
認証サーバーの構成

次に、「認証サーバー」ページに情報を入力します。

ベース DN: foxpass.com ダッシュボード ページから
取得 ピア認証局: これは上記の手順で作成された CA です
バインド資格情報: Foxpass の「pfsense」LDAP バインダー用に作成されたものと同じですユーザー名の
変更: このボックスのチェックを外します

pfSense_LDAP02_20230207.png

 
 
LDAP グループの設定

ここで、pfSense で Foxpass LDAP グループをミラーリングする必要があります。グループが「Posix 対応」に設定されていることを確認してください。この例では、VPN アクセスを許可するグループと、デバイスへの管理者アクセスを許可する 2 番目のグループがあります。

pfsense 内で、一致するグループを作成し、ドキュメントに従って必要なアクセス許可を割り当てます。「スコープ」は「リモート」に設定する必要があります

pfSense_LDAP03_20230207.png

 
 
認証サービスの変更

System / User Manager / Setting 内で、'Authentication Server' を 'Foxpass' に変更し、'Save & Test' をクリックします。イメージに示すように、バインド テストは失敗しますが、これは pfsense LDAP 実装の問題であり、設定の問題を反映していません。Foxpass 'LDAP Logs' で、バインドが正しく機能したかどうかを確認できます。

pfSense_LDAP04_20230207.png

 
 
ユーザー構成のテスト

ユーザーがどのグループのメンバーであるかをテストするには、診断/認証に移動します。この便利なインターフェイスは、トラブルシューティングに最適です。

pfSense_LDAP05_20230207.png

 
 
IPsec VPN を構成する

LDAP 認証を設定する前に、システム アカウントに対して動作する VPN トンネルをテストすることをお勧めします。

pfSense_LDAP06_20230207.png

  
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています