PfSense + Microsoft AD



  • Всем привет!

    Понимаю что такая тема тут долго обсуждается, но прочитав все обращаюсь за советом.
    У меня не выходит связать pfSense+AD все перепробовал не выходит.
    Контролер домена Windows Server 2008 R2 SP1
    pfSense 2.2.6-RELEASE (i386).








  • Судя по логам Wireshark запросы к контроллеру приходят.




  • Доброе.
    У Вас OU pfsense существует ? Пуск - Выполнить - Adsiedit.msc на DC и смотрите правильный атрибут distinguishedName

    И Group Object Class удалите в настройках.



  • Здравствуйте!

    OU pfsense да существует.

    @werter:

    У Вас OU pfsense существует ? Пуск - Выполнить - Adsiedit.msc на DC и смотрите правильный атрибут distinguishedName

    И Group Object Class удалите в настройках.

    Пробовал подключаться через ADExplorer с учеткой LP\pfsense все OK!
    Group Object Class - удалил но он снова подставляет это значение по умолчанию.

    Ну что ни у кого не работает что ли связка pfsense+MS AD - что то мне не верится.
    Через RADIUS не хочу.




  • А зачем вам OU pfsense , в к-ом есть CN pfsense ? Заведите просто учетку pfsense в пользователях домена.
    Не любите себе моск.

    У меня прекрасно работает связка OpenVPN + авторизация AD.



  • Когда-то хотел добавить авторизацию OVPN через AD.
    Делать это через создание отдельного OU (как почему-то советует большинство инструкций) мне показалось неудобным, настроил через обычную группу.
    Работающие (по крайней мере в Diagnostics: Authentication) настройки остались в виртуальной машине, если интересно - выложу.



  • Как у меня :

    1. Создаем пол-ля pfsense в пол-лях домена с очень длинным паролем (учетка служебная, так что можно). Генератор паролей - https://identitysafe.norton.com/password-generator/#

    2. Создаем группу vpnusers в Security groups.

    3. Добавляем пол-лей домена, к-ым можно автор-ся в Openvpn в группу vpnusers.

    3. Настраиваем pfsense, где в Extended Query  вписываем memberOf=CN=vpnusers,OU=Security Groups,DC=domain,DC=domain  - переделать под себя!



  • Да, именно так сделано и у меня.

    Ну, и естественно, Initial Template - Microsoft AD.



  • Да и у меня тоже самое но не работает.

    Не скромный впрос а что такое  "Initial Template - Microsoft AD"

    И еще мне кажется что у меня не получается именно из за версии pfsense
    Потому как все описания на этом сайте реализованны на версии 2.1.Х

    Или я не прав?



  • Не скромный впрос а что такое  "Initial Template - Microsoft AD"

    Выбор шаблона при редактировании System: Authentication Servers. Доступен до первого сохранения настроек.
    Именно  Microsoft AD должно быть выбрано при создании настроек.



  • Такое делал.



  • @djakson:

    Такое делал.

    Extended Query настроено?
    Кнопка Select в Authentication containers показывает список контейнеров AD?

    Как проверяете?
    для чего задумана авторизация в AD?



  • @pigbrother:

    Extended Query настроено?

    Поставлял разные варианты значений

    @pigbrother:

    Кнопка Select в Authentication containers показывает список контейнеров AD?

    Нажимал показывает ошибку: "Could not connect to the LDAP server. Please check your LDAP configuration."

    @pigbrother:

    Как проверяете?

    Что проверяю?

    @pigbrother:

    для чего задумана авторизация в AD?

    Ищу замену TMG там реализована авторизация через группы в AD да и вся сеть работает с AD.
    И потом ещё реализована рассылка полученного трафика на мыло пользователям из AD



  • Could not connect to the LDAP server. Please check your LDAP configuration."

    Поэтому и не работает.

    Убейте настройки и создайте их снова, выбрав Initial Template - Microsoft AD.

    Что проверяю?

    Настройки авторизации. Для этого есть спец. пункт меню - Diagnostics: Authentication.
    В нем выбирается Authentication Server - ваши настройки AD.



  • @pigbrother:

    Could not connect to the LDAP server. Please check your LDAP configuration."

    Поэтому и не работает.

    Убейте настройки и создайте их снова, выбрав Initial Template - Microsoft AD.

    Пробовал не помогает ошибка та же.

    @pigbrother:

    Настройки авторизации. Для этого есть спец. пункт меню - Diagnostics: Authentication.
    В нем выбирается Authentication Server - ваши настройки AD.

    Тоже пробовал ошибка "Authentication failed."




  • Пока не заработает кнопка Кнопка Select в Authentication containers - остальное бесполезно.
    Попробуйте прописать пользователя не LP\pfsense а просто pfsense



  • Да пробовал уже по всякому.
    Не помогает - поэтому тему создал.



  • А проверьте в
    Diagnostics: Test Port
    доступен ли порт 389 по IP вашего доменного контроллера.

    Должно получиться  такое

    Connection to х.х.х.х 389 port [tcp/ldap] succeeded!



  • Да порт открыт

    Connection to 192.168.0.197 389 port [tcp/ldap] succeeded!



  • 3 года прошло что никто так pfsense не подружил с AD(Single Sign-On)?



  • вам авторизацию нужно прикрутить через samba!
    делается как тут https://pf2ad.mundounix.com.br/en/index.html

    есть нюанс с последней версией pf, но решаем в этой статье, сам 2 раза проделывал, все отлично.
    https://forum.netgate.com/topic/136258/как-обновиться-до-определенной-версии?page=1

    извините заранее, если не так понял автора.