OPNSense 构建企业级防火墙--Ldap Authentication on Active Directory（五）

Ldap简介

Ldap 认证就是把用户数据信息放在 Ldap 服务器上,通过 ldap 服务器上的数据对用户进行认证处理。好比采用关系型数据库存储用户信息数据进行用户认证的道理一样。Ldap 也可以算作是数据库,不过不是关系型的,而是采用层次型组织数据的。Ldap是开放的Internet标准，支持跨平台的Internet协议，在业界中得到广泛认可的，并且市场上或者开源社区上的大多产品都加入了对Ldap的支持，因此对于这类系统，不需单独定制，只需要通过LDAP做简单的配置就可以与服务器做认证交互。接下来介绍Opnsense Ldap Authentication on Active Directory。

Windows AD 域

创建组织单元OU

注意:我们需要在Active Directory数据库上至少创建2个帐户。

opnsense 帐户将用于登录Opnsense Web界面。

bind 帐户将用于查询Active Directory数据库。

创建opnsense用户，该帐户将用于在Opnsense GUI 登陆身份验证。

创建bind用户，该帐户将用于查询Active Directory数据库中存储的密码信息。

OPNsense Ldap身份验证

添加Ldap服务器

Opnsense Ldap 参数配置

配置参数解析

描述名称--Active Directory
类型------LDAP
主机名或IP地址--192.168.99.234
端口值----289
传输------TCP-标准
协议版本----3
绑定证书
用户DN-----CN=bind,OU=opnsense,DC=zjsj,DC=com
密码-------******
搜索范围---整个子树
Base DN---DC=zjsj,DC=com
认证容器---OU=opnsense,DC=zjsj,DC=com
扩展查询---默认空
用户命令属性--sAMAccountName
读取参数---默认不勾选
Synchronize groups--默认不勾选
Limit groups--- Nothing selected

OPNsense-测试Ldap身份验证

OPNsense-Ldap组权限

创建名为ldap组

分配ldap组权限

根据需求配置登陆权限

OPNsense-Ldap用户

Opnsense 要求所有ldap用户帐户都要存在于本地数据库中，以执行正确的授权配置。

创建opnsense用户到本地数据库。

创建opnsense用户隶属于ldap组

另外可以使用系统自带的用户导入模块进行ldap用户的导入，这样就无需手动创建！

OPNsense-启用Ldap身份验证

系统默认为本地数据库登录，建议使用本地服务器+Active Directory。

使用opnsense用户和Active Directory数据库中的密码登录

完成 OPNsense Ldap Authentication on Active Directory 对接后，后续密码更新管理可直接在Active Directory上操作！