PfSense + Microsoft AD
-
Всем привет!
Понимаю что такая тема тут долго обсуждается, но прочитав все обращаюсь за советом.
У меня не выходит связать pfSense+AD все перепробовал не выходит.
Контролер домена Windows Server 2008 R2 SP1
pfSense 2.2.6-RELEASE (i386).
-
Судя по логам Wireshark запросы к контроллеру приходят.
-
Доброе.
У Вас OU pfsense существует ? Пуск - Выполнить - Adsiedit.msc на DC и смотрите правильный атрибут distinguishedNameИ Group Object Class удалите в настройках.
-
Здравствуйте!
OU pfsense да существует.
У Вас OU pfsense существует ? Пуск - Выполнить - Adsiedit.msc на DC и смотрите правильный атрибут distinguishedName
И Group Object Class удалите в настройках.
Пробовал подключаться через ADExplorer с учеткой LP\pfsense все OK!
Group Object Class - удалил но он снова подставляет это значение по умолчанию.Ну что ни у кого не работает что ли связка pfsense+MS AD - что то мне не верится.
Через RADIUS не хочу.
-
А зачем вам OU pfsense , в к-ом есть CN pfsense ? Заведите просто учетку pfsense в пользователях домена.
Не любите себе моск.У меня прекрасно работает связка OpenVPN + авторизация AD.
-
Когда-то хотел добавить авторизацию OVPN через AD.
Делать это через создание отдельного OU (как почему-то советует большинство инструкций) мне показалось неудобным, настроил через обычную группу.
Работающие (по крайней мере в Diagnostics: Authentication) настройки остались в виртуальной машине, если интересно - выложу. -
Как у меня :
1. Создаем пол-ля pfsense в пол-лях домена с очень длинным паролем (учетка служебная, так что можно). Генератор паролей - https://identitysafe.norton.com/password-generator/#
2. Создаем группу vpnusers в Security groups.
3. Добавляем пол-лей домена, к-ым можно автор-ся в Openvpn в группу vpnusers.
3. Настраиваем pfsense, где в Extended Query вписываем memberOf=CN=vpnusers,OU=Security Groups,DC=domain,DC=domain - переделать под себя!
-
Да, именно так сделано и у меня.
Ну, и естественно, Initial Template - Microsoft AD.
-
Да и у меня тоже самое но не работает.
Не скромный впрос а что такое "Initial Template - Microsoft AD"
И еще мне кажется что у меня не получается именно из за версии pfsense
Потому как все описания на этом сайте реализованны на версии 2.1.ХИли я не прав?
-
Не скромный впрос а что такое "Initial Template - Microsoft AD"
Выбор шаблона при редактировании System: Authentication Servers. Доступен до первого сохранения настроек.
Именно Microsoft AD должно быть выбрано при создании настроек. -
Такое делал.
-
Такое делал.
Extended Query настроено?
Кнопка Select в Authentication containers показывает список контейнеров AD?Как проверяете?
для чего задумана авторизация в AD? -
Extended Query настроено?
Поставлял разные варианты значений
Кнопка Select в Authentication containers показывает список контейнеров AD?
Нажимал показывает ошибку: "Could not connect to the LDAP server. Please check your LDAP configuration."
Как проверяете?
Что проверяю?
для чего задумана авторизация в AD?
Ищу замену TMG там реализована авторизация через группы в AD да и вся сеть работает с AD.
И потом ещё реализована рассылка полученного трафика на мыло пользователям из AD -
Could not connect to the LDAP server. Please check your LDAP configuration."
Поэтому и не работает.
Убейте настройки и создайте их снова, выбрав Initial Template - Microsoft AD.
Что проверяю?
Настройки авторизации. Для этого есть спец. пункт меню - Diagnostics: Authentication.
В нем выбирается Authentication Server - ваши настройки AD. -
Could not connect to the LDAP server. Please check your LDAP configuration."
Поэтому и не работает.
Убейте настройки и создайте их снова, выбрав Initial Template - Microsoft AD.
Пробовал не помогает ошибка та же.
Настройки авторизации. Для этого есть спец. пункт меню - Diagnostics: Authentication.
В нем выбирается Authentication Server - ваши настройки AD.Тоже пробовал ошибка "Authentication failed."
-
Пока не заработает кнопка Кнопка Select в Authentication containers - остальное бесполезно.
Попробуйте прописать пользователя не LP\pfsense а просто pfsense -
Да пробовал уже по всякому.
Не помогает - поэтому тему создал. -
А проверьте в
Diagnostics: Test Port
доступен ли порт 389 по IP вашего доменного контроллера.Должно получиться такое
Connection to х.х.х.х 389 port [tcp/ldap] succeeded!
-
Да порт открыт
Connection to 192.168.0.197 389 port [tcp/ldap] succeeded!
-
3 года прошло что никто так pfsense не подружил с AD(Single Sign-On)?