2.1. Configurar pfSense con Autenticación por LDAP Samba

2.1.1. Preparación de Usuarios y Grupos de AD / LDAP

Cree un grupo para autenticar contra su pfSense en el servidor LDAP, y un usuario sin privilegios o login interactivo para hacer la búsqueda de usuarios en el árbol de LDAP. En mi caso lo voy a nombrar «pfsense-ldap».

Nota

Quizás quieras probar las herramientas RSAT, son útiles para administración Remota de LDAP Samba (Requiere un Cliente de Windows 10).

../../../_images/pfs-ldap-1.png ../../../_images/pfs-ldap-2.png

Advertencia

No olvides añadir usuarios al grupo

2.1.2. Configurar la autenticación LDAP / AD en pfSense

Una vez hecho lo anterior inicie sesión en su pfSense y haga lo siguiente:

Acceda al menu de Sistema de pfSense y seleccione la opción de Gestión de Usuarios

../../../_images/pfs-ldap-3.png

En la pantalla de gestión de usuarios, vaya a la pestaña de Servidores de Autenticación y clickee «Añadir».

../../../_images/pfs-ldap-4.png
En el área de configuración de Servidor parametrice lo siguiente:
  • Descripción: SAMBA LDAP

  • Tipo: LDAP

Use la siguiente configuración:

  • Nombre de Host o Dirección IP: [tuIPdeServidor]

  • Valor de Puerto: 389

  • Transporte: TCP - Estándar

  • Autoridad Certificadora de Peers: Global Root CA List

  • Versión de Protocolo: 3

  • Server Timeout: 25

  • Search scope:
    • Nivel: Subárbol Entero

    • DN Base: dc=tu,dc=dominio,dc=com

  • Contenedores de Autenticación: OU=Administrators,DC=your,DC=domain,DC=com

  • Query Extendido: ENABLED

  • Query: memberOf=CN=pfsense-ldap,OU=Administrators,DC=your,DC=domain,DC=com

  • Bind anónimo: DISABLED

  • Credenciales: CN=s-pfsenseldap,OU=Service Accounts,DC=your,DC=domain,DC=com

  • Atributo de nombre de Usuario: samAccountName

  • Atributo de nombre de Grupo: cn

  • Atributo de miembro de Grupo: memberOf

  • Grupos RFC 2307: DISABLED

  • Clase de Objeto de Grupos: posixGroup

  • UTF8 Encode: DISABLED

  • Username Alterations: DISABLED

Now go to Diagnósticos → Autenticación

../../../_images/pfs-ldap-5.png

Pruebe su Autenticación LDAP con un usuario en el grupo pfsense-ldap.

../../../_images/pfs-ldap-6.png

2.1.3. Dar permisos a su grupo de AD / LDAP

Una vez haya probado exitosamente la autenticación puede volver a la Gestión de Usuarios (Sección de Grupos)

Cree un grupo con los siguientes parámetros: Nombre de Grupo: pfsense-ldap Scope: Remote Descripción: Samba LDAP Auth Group

../../../_images/pfs-ldap-7.png

Luego de esto edite los permisos del grupo pfsense-ldap

../../../_images/pfs-ldap-8.png ../../../_images/pfs-ldap-7b.png

2.1.4. Habilitar la autenticación por LDAP / Active Directory

Vaya a Gestión de Usuarios / Configuración: Seleccione el servidor de Autenticación Samba LDAP.

../../../_images/pfs-ldap-9.png

Cierre sesión e inténtelo con su usuario de AD / LDAP!

../../../_images/pfs-ldap-10.png