Autenticacin Active Directory en pfSense

por Damin Muraa | 31 Julio, 2015

0 comentarios

En este tutorial voy a explicar cmo integrar pfSense y Active Directory para utilizar la
gestin de usuarios de Active Directory en lugar del gestor de usuarios de pfSense. La idea
de esto es poder gestionar los usuarios utilizados para distintos servicios integrados en
pfSense (administracin, OpenVPN, proxy, portal cautivo, etc.) de forma centralizada en un
dominio Active Directory.

Escenario

Se configurar la autenticacin para posteriormente configurar una instancia de OpenVPN

utilizando los usuarios de Active Directory.

Dominio: ejemplo.local
Controlador de dominio: IP 172.29.1.1, Sistema operativo: Windows Server 2008 R2

En la estructura de Active Directory los usuarios que accedern a la VPN se encuentran en

el contenedor (incluido por defecto) Users, y adicionalmente debern ser miembros del
grupo vpnusers que se encuentra en la unidad organizativa (OU) miempresa.

Para realizar las consultas LDAP al controlador he creado un usuario pfsense miembro del
grupo Administradores de dominio (en teora no sera necesario, pero para algunos casos no
funciona correctamente sin privilegios administrativos).

Configuracin

En pfSense vamos a System -> User Manager -> Servers. Y aadimos uno nuevo con un
clic en el botn + .
Y configuramos los parmetros:

Descriptive name: Nombre para identificar el servidor y qu autenticar. En mi caso he

usado AD VPN.
Type: LDAP
Hostname or IP address: IP del controlador de dominio, en mi caso 172.29.1.1.
Port value: 389 (puerto por defecto para LDAP sobre TCP)
Transport: TCP Standard
Protocol version: 3
Search scope: One Level (para consultar solo los CNs y OUs de primer nivel) o Entire
Subtree (para consultar todo el rbol), en Base DN utilizar el nombre de dominio en
formato Distinguished Name (DN), quedara as: DC=ejemplo,DC=local
Authentication containers: Ingresar la OU o contenedor (CN) donde se encuentran los
usuarios que queremos autenticar, en mi caso: CN=Users;DC=ejemplo,DC=local
Extended query: Si se utilizarn los usuarios de una OU o CN especfico sin verificar
pertenencia a grupos u otros valores no es necesario habilitar esta opcin, en este caso
como deseo verificar si pertenecen al grupo vpnusers he agregado la consulta:
(&(objectcategory=user)(memberof=CN=vpnusers,OU=miempresa,DC=ejemplo,DC=loc
al))
Aqu algunas referencias de consultas LDAP comunes.
Bind credentials: Ingresar DN de usuario y contrasea, en este caso del usuario pfsense.
Para obtener el DN a partir del nombre de usuario, en el controlador de dominio ejecutar el
comando:
dsquery user -name pfsense
Y nos devolver el DN del mismo. En este caso
CN=pfsense,CN=users,DC=ejemplo,DC=local
Initial template: Microsoft AD. Los valores User naming, Group naming y Group member
cambiarn automticamente al formato de Active Directory.
Las ltimas dos opciones mantenerlas por defecto.

Quedara as:
Y una vez guardada la configuracin del servidor ya se encontrar disponbile para utilizar
como mtodo de autenticacin en los servicios de pfSense. En este caso para utilizar como
autenticacin para el servidor OpenVPN que en un prximo artculo explicar como
configurar.