OPNsense Active Directory MemberOf: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→Vorab) |
|||
| Zeile 4: | Zeile 4: | ||
Das muss auf der Opnsense importiert werden | Das muss auf der Opnsense importiert werden | ||
| − | Der Name win2022. | + | Der Name win2022.sec-labs.de muss von er Opnsens auflösbar sein. |
'''Warnung: Beim kopieren entstehen Leerzeichen - Hier ist die OPNSense zickig''' | '''Warnung: Beim kopieren entstehen Leerzeichen - Hier ist die OPNSense zickig''' | ||
| Zeile 11: | Zeile 11: | ||
==Ldapuser== | ==Ldapuser== | ||
;Er wird zum Binden an den DC gebraucht | ;Er wird zum Binden an den DC gebraucht | ||
| − | CN=ldapuser,OU=Service,DC= | + | CN=ldapuser,OU=Service,DC=sec-labs,DC=de |
;Test von der Opnsense Konsole | ;Test von der Opnsense Konsole | ||
| − | ldapsearch -x -H ldaps://win2022. | + | ldapsearch -x -H ldaps://win2022.sec-labs.de -D ldapuser@sec-labs.de -w 123Start$ -b dc=sec-labs,dc=de |
==Gruppe== | ==Gruppe== | ||
;Gruppe wo die Admins drin sein sollen | ;Gruppe wo die Admins drin sein sollen | ||
| − | CN=opnsense,OU=Groups,DC= | + | CN=opnsense,OU=Groups,DC=sec-labs,DC=de |
'''Hinzufügen wenn sie nicht drin sind''' | '''Hinzufügen wenn sie nicht drin sind''' | ||
==User in der Admingruppe== | ==User in der Admingruppe== | ||
| − | CN=xinux,CN=Users,DC= | + | CN=xinux,CN=Users,DC=sec-labs,DC=de |
| − | CN=hans,CN=Users,DC= | + | CN=hans,CN=Users,DC=sec-labs,DC=de |
| − | CN=lili,CN=Users,DC= | + | CN=lili,CN=Users,DC=sec-labs,DC=de |
=Einbinden der AD= | =Einbinden der AD= | ||
| Zeile 37: | Zeile 37: | ||
| Type || LDAP | | Type || LDAP | ||
|- | |- | ||
| − | | Hostname or IP address || win2022. | + | | Hostname or IP address || win2022.sec-labs.de |
|- | |- | ||
| Port value || 636 | | Port value || 636 | ||
| Zeile 45: | Zeile 45: | ||
| Protocol version || 3 | | Protocol version || 3 | ||
|- | |- | ||
| − | | Bind credentials || CN=ldapuser,OU=Service,DC= | + | | Bind credentials || CN=ldapuser,OU=Service,DC=sec-labs,DC=de |
|- | |- | ||
| Password || 123Start$ | | Password || 123Start$ | ||
| Zeile 51: | Zeile 51: | ||
| Search scope || Entire Subtree | | Search scope || Entire Subtree | ||
|- | |- | ||
| − | | Base DN || DC= | + | | Base DN || DC=sec-labs,DC=de |
|- | |- | ||
| − | | Authentication containers || CN=Users,DC= | + | | Authentication containers || CN=Users,DC=sec-labs,DC=de |
|- | |- | ||
| − | | Extended Query || memberOf=CN=opnsense,OU=Groups,DC= | + | | Extended Query || memberOf=CN=opnsense,OU=Groups,DC=sec-labs,DC=de |
|- | |- | ||
| User naming attribute || sAMAccountName | | User naming attribute || sAMAccountName | ||
Version vom 13. Februar 2026, 13:00 Uhr
Vorab
Wir brauchen das Stammzertifikat der Domain
- \\win2022\Export
Das muss auf der Opnsense importiert werden
Der Name win2022.sec-labs.de muss von er Opnsens auflösbar sein.
Warnung: Beim kopieren entstehen Leerzeichen - Hier ist die OPNSense zickig
Adminuser in der AD mit automatischer Synchronistion
Ldapuser
- Er wird zum Binden an den DC gebraucht
CN=ldapuser,OU=Service,DC=sec-labs,DC=de
- Test von der Opnsense Konsole
ldapsearch -x -H ldaps://win2022.sec-labs.de -D ldapuser@sec-labs.de -w 123Start$ -b dc=sec-labs,dc=de
Gruppe
- Gruppe wo die Admins drin sein sollen
CN=opnsense,OU=Groups,DC=sec-labs,DC=de
Hinzufügen wenn sie nicht drin sind
User in der Admingruppe
CN=xinux,CN=Users,DC=sec-labs,DC=de CN=hans,CN=Users,DC=sec-labs,DC=de CN=lili,CN=Users,DC=sec-labs,DC=de
Einbinden der AD
- Sytem
- Access
- Server
- Add
- Server
- Access
| Feld | Wert |
|---|---|
| Descriptive name | win2022 |
| Type | LDAP |
| Hostname or IP address | win2022.sec-labs.de |
| Port value | 636 |
| Transport | TLS |
| Protocol version | 3 |
| Bind credentials | CN=ldapuser,OU=Service,DC=sec-labs,DC=de |
| Password | 123Start$ |
| Search scope | Entire Subtree |
| Base DN | DC=sec-labs,DC=de |
| Authentication containers | CN=Users,DC=sec-labs,DC=de |
| Extended Query | memberOf=CN=opnsense,OU=Groups,DC=sec-labs,DC=de |
| User naming attribute | sAMAccountName |
| Read properties | ☑ |
| Synchronize groups | ☑ |
| Constraint groups | ☐ |
| Limit groups | Nothing selected |
| Automatic user creation | ☑ |
| Match case insensitive | ☐ |
Quelle für die Authentification auswählen
- System
- Settings
- Administration
- Authentication
- Administration
- Settings
| Feld | Wert |
|---|---|
| Server | win2022, Local Database |
| Disable integrated authentication | ☐ |
| Sudo | No password |
| Sudo group | wheel |
| User OTP seed | Nothing selected |
| Deployment type | Production |
Gruppe mit dem gleichen Namen anlegen
- System
- Access
- Groups
- Access
- opnsense
Danach Privilegien vergeben
- System
- Access
- Groups
- Assigned Privileges (Select All)
- Groups
- Access
| Feld | Wert |
|---|---|
| Defined By | user |
| gid | 2000 |
| Group name | opnsense |
| Description | |
| Privileges | All pages, Diagnostics: ARP Table, Diagnostics: Auth |
| Members | lili |
Wieder zu den Servers
- System
- Access
- Servers
- LDAP Server wählen
- Und Gruppe Mappen
- LDAP Server wählen
- Servers
- Access
| Feld | Wert |
|---|---|
| Read properties | ☑ |
| Synchronize groups | ☑ |
| Default groups | opnsense |
| Constraint groups | ☐ |
| Limit groups | Nothing selected |
| Automatic user creation | ☑ |
| Match case insensitive | ☐ |
User Synchronisieren
Muss man wohl nicht mehr
Einfach einlogen
Login
| Feld | Wert |
|---|---|
| Language | Default |
| Login shell | /bin/csh |
Anmerkung
- Ich hatte das Problem das ich als Remote Admin keine Änderungen vornehmen kann.
- Es scheint ein Sicherheitsmechanismus zu sein.
- Diesen kann man deaktivieren in dem man folgende Zeile entfernt
- vi /conf/config.xml
<user-config-readonly/>
- Link