OPNsense Active Directory MemberOf

Aus Xinux Wiki

Version vom 22. August 2025, 15:17 Uhr von Thomas.will (Diskussion | Beiträge) (→‎Wieder zu den Servers)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Zur Navigation springen Zur Suche springen

Adminuser in der AD mit automatischer Synchronistion

Ldapuser

Er wird zum Binden an den DC gebraucht

CN=ldapuser,OU=Service,DC=lab,DC=int

Gruppe

Gruppe wo die Admins drin sein sollen

CN=opnsense,OU=Groups,DC=lab,DC=int

User in der Admingruppe

CN=xinux,CN=Users,DC=lab,DC=int
CN=hans,CN=Users,DC=lab,DC=int
CN=lili,CN=Users,DC=lab,DC=int

Einbinden der AD

Sytem
- Access
  - Server

Feld	Wert
Descriptive name	dc2019
Type	LDAP
Hostname or IP address	192.168.13.11
Port value	389
Transport	TCP - Standard
Protocol version	3
Bind credentials	CN=ldapuser,OU=Service,DC=it13,DC=local
Password	********
Search scope	Entire Subtree
Base DN	DC=it13,DC=local
Authentication containers	CN=Users,DC=it13,DC=local
Extended Query	memberOf=CN=opnsense,OU=Groups,DC=it13,DC=local
User naming attribute	sAMAccountName
Read properties	☑
Synchronize groups	☑
Constraint groups	☐
Limit groups	Nothing selected
Automatic user creation	☑
Match case insensitive	☐

Quelle für die Authentification auswählen

System
- Settings
  - Administration
    - Authentication

Feld	Wert
Server	dc2019, Local Database
Disable integrated authentication	☐
Sudo	No password
Sudo group	wheel
User OTP seed	Nothing selected
Deployment type	Production

Gruppe mit dem gleichen Namen anlegen

System
- Access
  - Groups

opnsense

Danach Privilegien vergeben

System
- Access
  - Groups
    - Assigned Privileges (Select All)

Feld	Wert
Defined By	user
gid	2000
Group name	opnsense
Description
Privileges	All pages, Diagnostics: ARP Table, Diagnostics: Auth
Members	lili

Wieder zu den Servers

System
- Access
  - Servers
    - - LDAP Server wählen
        Und Gruppe Mappen

Feld	Wert
Read properties	☑
Synchronize groups	☑
Default groups	opnsense
Constraint groups	☐
Limit groups	Nothing selected
Automatic user creation	☑
Match case insensitive	☐

User Synchronisieren

Feld	Wert
Read properties	☑
Synchronize groups	☑
Default groups	opnsense
Constraint groups	☐
Limit groups	Nothing selected
Automatic user creation	☑
Match case insensitive	☐

Login

Anmerkung

Ich hatte das Problem das ich als Remote Admin keine Änderungen vornehmen kann.
Es scheint ein Sicherheitsmechanismus zu sein.
Diesen kann man deaktivieren in dem man folgende Zeile entfernt
vi /conf/config.xml

<user-config-readonly/>

Link

https://github.com/opnsense/core/issues/3132

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_Active_Directory_MemberOf&oldid=64395“