Adminuser in der AD mit automatischer Synchronistion

Ldapuser

Er wird zum Binden an den DC gebraucht

CN=ldapuser,OU=Service,DC=lab,DC=int

Gruppe

Gruppe wo die Admins drin sein sollen

CN=opnsense,OU=Groups,DC=lab,DC=int

User in der Admingruppe

CN=xinux,CN=Users,DC=lab,DC=int
CN=hans,CN=Users,DC=lab,DC=int
CN=lili,CN=Users,DC=lab,DC=int

Einbinden der AD

• Sytem
  • Access
    • Server

Feld	Wert
Descriptive name	dc2019
Type	LDAP
Hostname or IP address	192.168.13.11
Port value	389
Transport	TCP - Standard
Protocol version	3
Bind credentials	CN=ldapuser,OU=Service,DC=it13,DC=local
Password	********
Search scope	Entire Subtree
Base DN	DC=it13,DC=local
Authentication containers	CN=Users,DC=it13,DC=local
Extended Query	memberOf=CN=opnsense,OU=Groups,DC=it13,DC=local
User naming attribute	sAMAccountName
Read properties	☑
Synchronize groups	☑
Constraint groups	☐
Limit groups	Nothing selected
Automatic user creation	☑
Match case insensitive	☐

Quelle für die Authentification auswählen

• System
  • Settings
    • Administration
      • Authentication

Feld	Wert
Server	dc2019, Local Database
Disable integrated authentication	☐
Sudo	No password
Sudo group	wheel
User OTP seed	Nothing selected
Deployment type	Production

Gruppe mit dem gleichen Namen anlegen

• System
  • Access
    • Groups

opnsense

Danach Privilegien vergeben

• System
  • Access
    • Groups
      • Assigned Privileges (Select All)

Feld	Wert
Defined By	user
gid	2000
Group name	opnsense
Description
Privileges	All pages, Diagnostics: ARP Table, Diagnostics: Auth
Members	lili

Wieder zu den Servers

• System
  • Access
    • Servers
      • • LDAP Server wählen
          • Und Gruppe Mappen

User Synchronisieren

Login

Anmerkung

• Ich hatte das Problem das ich als Remote Admin keine Änderungen vornehmen kann.
• Es scheint ein Sicherheitsmechanismus zu sein.
• Diesen kann man deaktivieren in dem man folgende Zeile entfernt
• vi /conf/config.xml

<user-config-readonly/>

Link

• https://github.com/opnsense/core/issues/3132