在本教程中，介绍如何使用Microsoft Windows中的Active Directory数据库和LDAP协议对pfSense用户进行身份验证。数据库

1、配置Windows域控制器防火墙

首先，咱们须要在Windows域控制器上建立防火墙规则，该防火墙规则将容许pfSense服务器查询Active Directory数据库。在域控制器上，打开名为“高级安全Windows防火墙”的应用程序，建立一个新的入站防火墙规则。windows

选择端口选项。安全

选择“ TCP”选项，选择“指定本地端口”选项，输入TCP端口389。服务器

选择“容许链接”选项。网络

选中DOMAIN选项，选中PRIVATE选项，选中PUBLIC选项。ide

输入防火墙规则的描述。测试

所需的防火墙规则建立完毕，此规则将容许pfSense查询Active Directory数据库。spa

2、Windows域账户建立

接下来，咱们须要在Active Directory数据库上至少建立2个账户。admin账户将用于登陆pfSense Web界面。bind账户将用于查询Active Directory数据库。3d

在域控制器上，打开Active Directory用户和计算机code

在“用户”容器内建立一个新账户。

建立一个新账户，名为：admin，配置给admin用户的密码为：123qwe.。

该账户将用于在pfSense Web界面上以admin身份进行身份验证。

再建立一个名为bind的新账户，密码为：123qwe.。

该账户将用于查询Active Directory数据库中存储的密码。

Active Directory账户建立完毕。

3、Windows域组建立

接下来，咱们须要在Active Directory数据库上至少建立1个组。

在域控制器上，打开Active Directory用户和计算机，在“用户”容器内建立一个新组。

建立pfsense-admin的新组，该组的成员在pfSense Web界面上具备管理员级权限。

再将admin用户添加为pfsense-admin组的成员。

4、在pfSense上设置LDAP身份验证

导航到系统>用户管理>认证服务器，而后单击“添加”按钮。

在“服务器设置”区域，设置如下参数：

• Description name(描述名称): ACTIVE DIRECTORY
• Type（类型）: LDAP

在“ LDAP服务器设置”区域上，执行如下配置：

• Hostname or IP address - 192.168.15.10
• Port value - 389
• Transport - TCP - Standard
• Protocol version - 3
• Server Timeout - 25
• Search Scope - Entire Subtree
• Base DN - dc=tech,dc=local
• Authentication containers - CN=Users,DC=tech,DC=local
• Extended query - Disabled
• Bind anonymous - Disabled
• Bind credentials - CN=bind,CN=Users,DC=tech,DC=local
• Bind credentials Password - Password of the BIND user account
• Initial Template - Microsoft AD
• User naming attribute - samAccountName
• Group naming attribute - cn
• Group member attribute - memberOf
• RFC 2307 Groups - Disabled
• Group Object Class - posixGroup
• UTF8 Encode - Disabled
• Username Alterations - Disabled

这里须要将IP地址更改成域控制器IP，其余信息根据你的网络环境来设置。

单击保存按钮完成配置。

5、测试Active Directory身份验证

导航到诊断>认证测试，而后选择身份验证选项。

选择活动目录身份验证服务器，输入管理员用户名及其密码，而后单击“测试”按钮。

若是测试成功，则应该看到如下消息。

6、设置pfSense-Active Directory组权限

导航到系统>用户管理，访问“组”选项卡，而后单击“添加”按钮。

在“组编辑”页面上，设置如下参数：

• Group name - pfsense-admin
• Scope - Remote
• Description - Active Directory group

单击保存按钮，返回到组配置页面。

下面来编辑pfsense-admin组的权限。在pfsense-admin组属性上，找到“分配的权限”区域，而后单击“添加”按钮。在“组”特权区域中，执行如下配置：

•分配权限-WebCfg - All pages

单击保存按钮完成配置。

7、启用Active Directory身份验证

导航到系统>用户管理，访问“设置”选项卡。

在“设置”页面上，在“认证服务器”栏选择“Active Directory”身份验证服务器”。

单击保存&测试按钮。

配置完成后，从pfSense中注销，使用admin用户和Active Directory数据库中的密码登陆。

•用户名：admin
•密码：输入Active Directory密码。

至此，在pfSense中使用Active Directory数据库进行身份验证所有设置完成。