Pfsense Active Directory Authentication

, Genel, Pfsense

firewall

Merhabalar;

Bu dökümanımızda Pfsense Active Directory Authentication nasıl yapılandırabilirizi anlatmaya çalıştım.Pfsense Kurulumundan daha önce bahsettiğim için bu adımları yapılandırılmış varsayıyorum.
Yapımdan kısaca bahsetmek gerekirse ;

Windows Server 2012 R2 Active Directory – 10.10.10.2/8
Pfsense Lan: 10.10.10.1/8 – Wan:192.168.9.14/20
Windows 7 Client ( Pfsense DHCP’den otomatik ip alıyor)

Daha önceki yazılarımda pfsense nasıl bağlacağımızı anlattığım için es geçiyorum.Artık yapılandırmamıza geçelim.İlk olarak Services > Proxy Server açıyoruz.

pf1
Proxy Server sekmesini açtından sonra General tabında ;

Proxy interface: Lan seçili olmalıdır
Allow User on interface : Seçili olmazsa proxy sunucudan çıkan kullanıcıların interneti bloke edilmiş olur
Enable Loging : Seçili olursa bu ağdan internete çıkan herkesi loglamış olursunuz.

Diğer ayarları değiştirmenize gerek yoktur, ayarları kaydedip Auth Settings kısmına geçiyoruz.

pf2

Authentication Method : LDAP olmalıdır.
Authentication Server : Burada Server ip si veya full Fqdn ismini girmeniz gerekmektedir.
Authentication Server Port : Değiştirmenize gerek yoktur.
LDAP Server User DN : cn=Administrator,cn=Users,dc=hasan,dc=local burada LDAP server a bağlanmak için yetkili kullanıcıyı gösteriyoruz.
LDAP Base Domain : Burada etki alanınız belirtiyorsunuz( örneğin ; dimdik.hasan.local şeklinde olsaydı, dc=dimdik,dc=hasan,dc=local şeklinde yazmalıydım.)
LDAP usarname DN attribute : uid yazıyoruz
LDAP search filter : (&(memberOf=CN=internetAccess,CN=Users,DC=hasan,DC=local)(sAMAccountName=%s)) Kimlik doğrulaması için bu komutları kendinize göre uyarlamanız gerekmektedir. Farklı şekilde kullanmak isterseniz aşağıdaki linki inceleyebilirsiniz
http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx

pf3

Daha sonra istemci bilgisayarımızda proxy algılaması için internet explorer > Tools > internet options >Connections > Lan Settings ve Proxy Server altına proxy server ip si yazıyorsunuz. Bunu gpo yapılandırarak veya dhcp server üzerinde wpad kaydı oluşturarak otomatik almasını sağlayabilirsiniz.

pf4

Daha sonra ise Active Directory altında internetAccess diye securiy grup oluşturdum ve internete erişimine izin verdiğim kullanıcıları buraya ekledim. Zaten Search filter kısmına dikkat ederseniz memberof=CN=internetAccess diye belirtmiştim.

pf5

Şimdide internete erişmek istediğimde kullanıcı adı ve parola soruyor. Yetkili kullanıcılar erişim sağlayabilecekler eğer yanlış kullanıcı bilgisi ile denerseniz Access Denied hatası alacaksınız.

pf6

Evet internete başarılı bir şekilde çıktığımı görüyorsunuz.

pf7

Umuyorum Faydası Dokunmuştur
Hasan DİMDİK

Leave your vote

0 points
Upvote Downvote

Comments

0 comments

Comment List

  • Recep YÜKSEL 12 / 04 / 2014 Reply

    Hasan hocam eline sağlık güzel bir makale olmuş.

  • Tansu Ekinci 13 / 04 / 2014 Reply

    Selamlar,
    öncelikle elinize sağlık. .çok güzel bir konu ve makale olmuş. .2 sorum var:
    integrated authentication desteği varmı ve transparent proxy de çalışıyor mu?
    Biliyormusunuz?
    Teşekkürler. .

  • Vasvi UYSAL 03 / 09 / 2014 Reply

    transparent olarak authentication ile birlikte kullanmak için
    RRAS ile windows tarafında radius sunucu olarak yapılandırıp
    PFSENSE üzerinde captive portal ile kullanabilirsiniz

  • murat 06 / 12 / 2014 Reply

    hocam ,

    konuyla alakasiz ama yapilan filtrelemeler ve rullerden yeteri kadar perf. alinamiyor.Orn ultrasurf yasaklanmamasi

    ne yaptimsa transp proxy modda https trafigi de kapatamadim.firewall rule den 443 portunu engelledim fakat bu kez de banka ve baska site de bulunan portallara erisim olmuyor.
    bunla alakali olarak firewall rule siralamasi yada ek ne yapmam gerekiyor?
    yardimci olabilir misiniz.

    • admin 08 / 12 / 2014 Reply

      İlk olarak ;
      Alias oluşturup aşağıdaki ip leri girin. Bu noktada da şu sıkıntı var bu ip blokları değişebilir takip etmeniz gerekecek. Daha sonra ki adımda ise rule oluşturacaksınız block rule ve alias ı gösterip http ve https için yasaklayın
      65.49.14.0/24
      63.215.202.0/24
      207.171.185.0/24
      207.171.189.0/24
      72.21.194.31/31
      101.128.162.237/31
      175.180.102.77/31
      122.120.64.0/24
      111.255.130.151/31
      1.160.238.30/31
      124.12.53.63/31
      220.136.246.137/31
      70.32.68.127/31
      207.171.163.151/31
      175.180.85.181/31
      129.59.210.101/31
      174.24.248.14/31
      114.25.182.57/31
      114.39.201.136/31
      72.21.194.33/31
      124.11.175.111/31
      61.230.180.191/31
      72.21.214.0/24
      124.11.174.122/31
      207.171.187.117/31
      111.254.118.171/31
      218.169.205.131/31
      112.104.197.114/31
      72.21.194.0/24
      111.242.22.245/31
      220.141.106.42/31
      111.250.193.106/31
      111.249.177.164/31
      114.25.11.175/31
      114.39.205.22/31
      205.251.242.164/31
      72.21.203.148/31
      61.223.97.169/31
      124.12.53.63/31
      65.49.14.0/24
      124.11.175.28/31
      122.121.19.6/31
      65.49.2.13/31
      24.11.192.219/31
      220.136.246.137/31
      63.215.202.6/31
      114.40.37.203/31
      72.69.176.100/31
      114.47.85.88/31
      112.105.119.46/31
      123.204.125.161/31
      184.26.194.70/31
      1.169.120.246/31
      1.160.0.0/16
      1.162.0.0/16
      1.168.0.0/16
      1.169.0.0/16
      1.170.0.0/16
      1.171.0.0/16
      1.172.0.0/16
      1.173.0.0/16
      1.174.0.0/16
      1.175.0.0/16
      114.45.170.0/24
      122.124.162.0/24
      65.49.14.0/24
      61.223.97.0/24
      124.12.53.0/24
      112.104.197.0/24
      124.11.53.0/24
      216.13.11.51/31
      72.21.211.170/31
      122.126.124.13/31
      61.230.180.173/31
      111.255.145.159/31
      101.128.162.237/31
      124.11.170.214/31
      1.160.120.246/31
      124.11.192.176/31
      124.12.54.173/31
      112.105.77.240/31
      220.141.154.81/31
      114.47.113.94/31
      67.19.60.8/31
      64.25.35.201/31
      124.12.32.176/31
      211.74.191.69/31
      64.4.44.80/31
      125.230.125.163/31
      64.25.35.101/31
      175.181.112.39/31
      207.171.163.161/31
      114.46.161.107/31
      63.245.209.31/31
      128.120.32.97/31
      112.105.87.62/31
      216.13.113.51/31
      218.165.24.161/31
      118.171.193.179/31
      70.32.68.127/31
      59.112.114.149/31
      113.197.194.199/31
      59.113.2.250/31
      111.242.6.218/31
      124.9.197.126/31
      114.25.0.2/31
      124.11.196.43/31
      111.254.211.65/31
      66.245.218.3/31
      203.73.50.4/31
      124.11.224.38/31
      1.170.151.113/31
      218.167.224.59/31
      125.231.91.189/31
      218.167.224.113/31
      61.230.182.171/31
      207.171.163.225/31
      203.73.55.210/31
      63.226.208.181/31
      59.112.116.233/31
      207.171.163.3/31
      125.232.184.53/31
      175.182.30.182/31
      114.40.42.214/31
      219.80.130.235/31
      59.112.115.93/31
      218.173.162.58/31
      111.255.132.243/31
      111.254.214.163/31
      111.240.152.228/31
      1.169.171.87/31
      122.125.36.24/31
      111.242.37.253/31
      61.230.113.122/31
      124.11.189.196/31
      218.169.182.134/31
      118.160.104.136/31
      114.25.7.27/31
      207.171.163.195/31
      114.47.69.24/31
      124.11.224.197/31
      114.40.26.207/31
      111.250.71.235/31
      124.11.229.119/31
      114.41.64.36/31
      111.242.3.157/31
      111.255.138.181/31
      114.40.31.114/31
      114.37.111.204/31
      114.25.19.121/31
      111.242.36.94/31
      218.167.4.85/31
      114.25.1.44/31
      70.32.68.127/31
      118.96.153.161/31
      114.41.25.53/31
      122.121.17.23/31
      111.255.130.127/31
      114.40.40.229/31
      111.255.132.2/31
      118.171.194.210/31
      111.242.8.4/31
      118.214.82.70/31
      114.39.204.244/31
      118.170.208.85/31
      125.224.242.61/31
      118.169.59.42/31
      114.40.117.58/31
      107.20.223.211/31
      65.49.2.18/31
      124.11.227.214/31
      124.12.56.57/31
      118.169.59.42/31
      122.125.1.93/31
      61.228.34.89/31

  • ali 17 / 07 / 2015 Reply

    merhaba. bu yöntemi domaine dahil edilmiş bi bilgisayardan kullandığımızda kullanıcı adı ve şifre istemeden otomatik olarak giriş yapacak şekilde nasıl ayarlayabiliriz. mümkün müdür?

  • ali 18 / 07 / 2015 Reply

    cevabınız için teşekkürler. evet tüm trafik pfsense üzerinden çıkacak ama yapmak istediğim tam olarak bu değil. captive portal sistemimde zaten kurulu. radius server ile bağlantı kurdum ve AD deki kullanıcılar ile kimlik doğrulaması yapıyorum. Wifi ile bağlanan kişiler captive portaldan ADdeki kullanıcı adları ile internete çıkış yapıyor. domaine dahil bilgisayarda iki yerde şifre istememesi için sadece Windowsta oturum açarken şifre istiyor, internete çıkarken istememesi için captive portal da mac kaydı yaparak bilgisayara tamamen izin verdim. benim yapmak istediğim şey sizin tam burada anlattığınız yapmak. bilgisayarda örnek veriyorum ali kullanıcı adıyla oturum açıldığında bu anlattığınız şekilde squid Auth yapacak ve sonuç olarak loglarda o kullanıcının girdiği adreslerde kullanıcı adı da yazacak. ama ali kullanıcısıyla oturum açmama rağmen internete çıkarken tekrar squid kimlik doğrulaması istiyor

  • Onur Karamalı 16 / 01 / 2016 Reply

    Merhaba;
    Yazınızı yeni okudum. Tabiki açıklamalarınızdan yola çıkarak bir çok senaryo oluşturulabilir ve bunlar için birer çözüm buluna bilir. Ama sizlere danışmadan bazı durumlar kendimizce çözülmüyor. Esasen bir mcse/admin olarak affınıza sığınıyorum bir sorum olacaktı.
    Sistemimde cisco asa firewall , websense filtre ve proxy server var. Ama mevcut cisco’nun ips/ids özelliği yok. O yüzden bende daha önce bir çok kez kurulumunu yaptığım hali hazırda çalıştırdığım pfsense üzerinde suricata kurarak ayrıca ips/ids oluşturmak istiyorum. Bahsi geçen mevcut yapıma bu uyumlu (stabil) olacak mıdır? Benim düşüncem olur fakat cisco’dan sonra mı olmalı yoksa direk wan önüne mi koymalıyım bilmedim. Çünkü paket snoof ettiricem ve snorpy ile analiz etmem lazım. Sizde biliyorsunuz ki İPS/İDS için mutlaka paket yakalamam lazım ama mevcut yapımda bunu nereye koymam lazım nasıl koymam lazım bilemedim.

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.