Ldap 认证就是把用户数据信息放在 Ldap 服务器上,通过 ldap 服务器上的数据对用户进行认证处理。好比采用关系型数据库存储用户信息数据进行用户认证的道理一样。Ldap 也可以算作是数据库,不过不是关系型的,而是采用层次型组织数据的。Ldap是开放的Internet标准,支持跨平台的Internet协议,在业界中得到广泛认可的,并且市场上或者开源社区上的大多产品都加入了对Ldap的支持,因此对于这类系统,不需单独定制,只需要通过LDAP做简单的配置就可以与服务器做认证交互。接下来介绍Opnsense Ldap Authentication on Active Directory。
Windows AD 域
创建组织单元OU
注意:我们需要在Active Directory数据库上至少创建2个帐户。
opnsense 帐户将用于登录Opnsense Web界面。
bind 帐户将用于查询Active Directory数据库。
创建opnsense用户,该帐户将用于在Opnsense GUI 登陆身份验证。
创建bind用户,该帐户将用于查询Active Directory数据库中存储的密码信息。
OPNsense Ldap身份验证
添加Ldap服务器
Opnsense Ldap 参数配置
配置参数解析
描述名称--Active Directory
类型------LDAP
主机名或IP地址--192.168.99.234
端口值----289
传输------TCP-标准
协议版本----3
绑定证书
用户DN-----CN=bind,OU=opnsense,DC=zjsj,DC=com
密码-------******
搜索范围---整个子树
Base DN---DC=zjsj,DC=com
认证容器---OU=opnsense,DC=zjsj,DC=com
扩展查询---默认空
用户命令属性--sAMAccountName
读取参数---默认不勾选
Synchronize groups--默认不勾选
Limit groups--- Nothing selected
OPNsense-测试Ldap身份验证
OPNsense-Ldap组权限
创建名为ldap组
分配ldap组权限
根据需求配置登陆权限
OPNsense-Ldap用户
Opnsense 要求所有ldap用户帐户都要存在于本地数据库中,以执行正确的授权配置。
创建opnsense用户到本地数据库。
创建opnsense用户隶属于ldap组
另外可以使用系统自带的用户导入模块进行ldap用户的导入,这样就无需手动创建!
OPNsense-启用Ldap身份验证
系统默认为本地数据库登录,建议使用本地服务器+Active Directory。
使用opnsense用户和Active Directory数据库中的密码登录
完成 OPNsense Ldap Authentication on Active Directory 对接后,后续密码更新管理可直接在Active Directory上操作!