OPNsense Active Directory MemberOf: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
=seclab-win2022=
 +
*Das gibt unser Domain Controller
 +
;In der Virtualbox
 +
*Import der Maschine
 +
*Name: win2022
 +
*Netzwerk:Internes Netzwerk: SERVER
 +
;In der Maschine
 +
*user: Administrator
 +
*pass: 123Start$
 +
 +
 
=Vorab=
 
=Vorab=
 
Wir brauchen das Stammzertifikat der Domain
 
Wir brauchen das Stammzertifikat der Domain
*\\win2022\Share
+
*\\win2022\Export
 
Das muss auf der Opnsense importiert werden
 
Das muss auf der Opnsense importiert werden
  
Der Name win2022.lab.int muss vond er Opnsens auflösbar sein.
+
Der Name win2022.sec-labs.de muss von er Opnsense auflösbar sein.
 +
 
 +
'''Warnung: Beim kopieren entstehen Leerzeichen - Hier ist die OPNSense zickig'''
  
 
=Adminuser in der AD mit automatischer Synchronistion=
 
=Adminuser in der AD mit automatischer Synchronistion=
 
==Ldapuser==
 
==Ldapuser==
 
;Er wird zum Binden an den DC gebraucht
 
;Er wird zum Binden an den DC gebraucht
  CN=ldapuser,OU=Service,DC=lab,DC=int
+
  CN=ldapuser,OU=Service,DC=sec-labs,DC=de
 
;Test von der Opnsense Konsole
 
;Test von der Opnsense Konsole
  ldapsearch -x -H ldaps://win2022.lab.int -D ldapuser@lab.int -w 123Start$ -b dc=lab,dc=int
+
  ldapsearch -x   -H ldaps://win2022.sec-labs.de    -D "ldapuser@sec-labs.de"  -w '123Start$-b "DC=sec-labs,DC=de"  "(sAMAccountName=hans)"  sAMAccountName memberOf
  
 
==Gruppe==
 
==Gruppe==
 
;Gruppe wo die Admins drin sein sollen
 
;Gruppe wo die Admins drin sein sollen
  CN=opnsense,OU=Groups,DC=lab,DC=int
+
  CN=opnsense,OU=Groups,DC=sec-labs,DC=de
 
'''Hinzufügen wenn sie nicht drin sind'''
 
'''Hinzufügen wenn sie nicht drin sind'''
  
 
==User in der Admingruppe==
 
==User in der Admingruppe==
CN=xinux,CN=Users,DC=lab,DC=int
+
==Gruppe: opnsense==
  CN=hans,CN=Users,DC=lab,DC=int
+
{| class="wikitable"
CN=lili,CN=Users,DC=lab,DC=int
+
! Benutzer !! Domain !! Gruppe !! Passwort
 +
|-
 +
| lili  || sec-labs.de || opnsense || 8er-Bahn
 +
|-
 +
| xinux || sec-labs.de || opnsense || 123Start$
 +
|-
 +
| hans   || sec-labs.de || opnsense || Ick.werd.zun.Schwi
 +
|}
  
 
=Einbinden der AD=
 
=Einbinden der AD=
Zeile 35: Zeile 55:
 
| Type || LDAP
 
| Type || LDAP
 
|-
 
|-
| Hostname or IP address || win2022.lab.int
+
| Hostname or IP address || win2022.sec-labs.de
 
|-
 
|-
 
| Port value || 636
 
| Port value || 636
Zeile 43: Zeile 63:
 
| Protocol version || 3
 
| Protocol version || 3
 
|-
 
|-
| Bind credentials || CN=ldapuser,OU=Service,DC=lab,DC=int
+
| Bind credentials || CN=ldapuser,OU=Service,DC=sec-labs,DC=de
 
|-
 
|-
 
| Password || 123Start$
 
| Password || 123Start$
Zeile 49: Zeile 69:
 
| Search scope || Entire Subtree
 
| Search scope || Entire Subtree
 
|-
 
|-
| Base DN || DC=lab,DC=int
+
| Base DN || DC=sec-labs,DC=de
 
|-
 
|-
| Authentication containers || CN=Users,DC=lab,DC=int
+
| Authentication containers || CN=Users,DC=sec-labs,DC=de
 
|-
 
|-
| Extended Query || memberOf=CN=opnsense,OU=Groups,DC=lab,DC=int
+
| Extended Query || memberOf=CN=opnsense,OU=Groups,DC=sec-labs,DC=de
 +
|-
 +
| Initial Template || Microsoft AD
 
|-
 
|-
 
| User naming attribute || sAMAccountName
 
| User naming attribute || sAMAccountName
Zeile 69: Zeile 91:
 
| Match case insensitive || ☐
 
| Match case insensitive || ☐
 
|}
 
|}
 +
 +
=Tester=
 +
*System
 +
**Access
 +
***Tester
 +
****Authentication Server: win2022
 +
****Username: xinux
 +
****Password: 123Start$
  
 
=Quelle für die Authentification auswählen=
 
=Quelle für die Authentification auswählen=
Zeile 114: Zeile 144:
 
| Privileges || All pages, Diagnostics: ARP Table, Diagnostics: Auth
 
| Privileges || All pages, Diagnostics: ARP Table, Diagnostics: Auth
 
|-
 
|-
| Members || lili
+
| Members ||  
 
|}
 
|}
  
Zeile 143: Zeile 173:
 
=User Synchronisieren=
 
=User Synchronisieren=
 
'''Muss man wohl nicht mehr'''
 
'''Muss man wohl nicht mehr'''
 +
 
Einfach einlogen
 
Einfach einlogen
  
Zeile 158: Zeile 189:
 
*Es scheint ein Sicherheitsmechanismus zu sein.
 
*Es scheint ein Sicherheitsmechanismus zu sein.
 
*Diesen kann man deaktivieren in dem man folgende Zeile entfernt
 
*Diesen kann man deaktivieren in dem man folgende Zeile entfernt
 +
*cd /conf
 +
*cp config.xml config.xml.org
 
*vi /conf/config.xml
 
*vi /conf/config.xml
 
  <user-config-readonly/>
 
  <user-config-readonly/>
 
;Link
 
;Link
 
*https://github.com/opnsense/core/issues/3132
 
*https://github.com/opnsense/core/issues/3132

Aktuelle Version vom 18. Februar 2026, 10:33 Uhr

seclab-win2022

  • Das gibt unser Domain Controller
In der Virtualbox
  • Import der Maschine
  • Name: win2022
  • Netzwerk:Internes Netzwerk: SERVER
In der Maschine
  • user: Administrator
  • pass: 123Start$


Vorab

Wir brauchen das Stammzertifikat der Domain

  • \\win2022\Export

Das muss auf der Opnsense importiert werden

Der Name win2022.sec-labs.de muss von er Opnsense auflösbar sein.

Warnung: Beim kopieren entstehen Leerzeichen - Hier ist die OPNSense zickig

Adminuser in der AD mit automatischer Synchronistion

Ldapuser

Er wird zum Binden an den DC gebraucht
CN=ldapuser,OU=Service,DC=sec-labs,DC=de
Test von der Opnsense Konsole
ldapsearch -x   -H ldaps://win2022.sec-labs.de    -D "ldapuser@sec-labs.de"   -w '123Start$'   -b "DC=sec-labs,DC=de"   "(sAMAccountName=hans)"   sAMAccountName memberOf

Gruppe

Gruppe wo die Admins drin sein sollen
CN=opnsense,OU=Groups,DC=sec-labs,DC=de

Hinzufügen wenn sie nicht drin sind

User in der Admingruppe

Gruppe: opnsense

Benutzer Domain Gruppe Passwort
lili sec-labs.de opnsense 8er-Bahn
xinux sec-labs.de opnsense 123Start$
hans sec-labs.de opnsense Ick.werd.zun.Schwi

Einbinden der AD

  • Sytem
    • Access
      • Server
        • Add
Feld Wert
Descriptive name win2022
Type LDAP
Hostname or IP address win2022.sec-labs.de
Port value 636
Transport TLS
Protocol version 3
Bind credentials CN=ldapuser,OU=Service,DC=sec-labs,DC=de
Password 123Start$
Search scope Entire Subtree
Base DN DC=sec-labs,DC=de
Authentication containers CN=Users,DC=sec-labs,DC=de
Extended Query memberOf=CN=opnsense,OU=Groups,DC=sec-labs,DC=de
Initial Template Microsoft AD
User naming attribute sAMAccountName
Read properties
Synchronize groups
Constraint groups
Limit groups Nothing selected
Automatic user creation
Match case insensitive

Tester

  • System
    • Access
      • Tester
        • Authentication Server: win2022
        • Username: xinux
        • Password: 123Start$

Quelle für die Authentification auswählen

  • System
    • Settings
      • Administration
        • Authentication
Feld Wert
Server win2022, Local Database
Disable integrated authentication
Sudo No password
Sudo group wheel
User OTP seed Nothing selected
Deployment type Production

Gruppe mit dem gleichen Namen anlegen

  • System
    • Access
      • Groups
opnsense

Danach Privilegien vergeben

  • System
    • Access
      • Groups
        • Assigned Privileges (Select All)
Feld Wert
Defined By user
gid 2000
Group name opnsense
Description
Privileges All pages, Diagnostics: ARP Table, Diagnostics: Auth
Members

Wieder zu den Servers

  • System
    • Access
      • Servers
          • LDAP Server wählen
            • Und Gruppe Mappen
Feld Wert
Read properties
Synchronize groups
Default groups opnsense
Constraint groups
Limit groups Nothing selected
Automatic user creation
Match case insensitive

User Synchronisieren

Muss man wohl nicht mehr

Einfach einlogen

Login

Feld Wert
Language Default
Login shell /bin/csh

Anmerkung

  • Ich hatte das Problem das ich als Remote Admin keine Änderungen vornehmen kann.
  • Es scheint ein Sicherheitsmechanismus zu sein.
  • Diesen kann man deaktivieren in dem man folgende Zeile entfernt
  • cd /conf
  • cp config.xml config.xml.org
  • vi /conf/config.xml
<user-config-readonly/>
Link
Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_Active_Directory_MemberOf&oldid=67042