Bu yazımızda Pfsense Active Directory Authentication nasıl yapılandırabiliriz konusunu anlatmaya çalıştım. Pfsense Kurulumundan daha önce bahsettiğim için bu adımları yapılandırılmış varsayıyorum.
Yapımdan kısaca bahsetmek gerekirse;
Windows Server 2012 R2 Active Directory – 10.10.10.2/8
Pfsense LAN: 10.10.10.1/8 – Wan:192.168.9.14/20
Windows 7 Client ( Pfsense DHCP’den otomatik ip alıyor)
Daha önceki yazılarımda Pfsense nasıl bağlanacağımızı anlattığım için es geçiyorum. Artık yapılandırmamıza geçelim. İlk olarak Services > Proxy Server açıyoruz.
Resim-1
Proxy Server sekmesini açtıktan sonra General tabında ;
Proxy interface: LAN seçili olmalıdır
Allow User on interface: Seçili olmazsa Proxy sunucudan çıkan kullanıcıların interneti bloke edilmiş olur
Enable Loging: Seçili olursa bu ağdan internete çıkan herkesi loglamış olursunuz.
Diğer ayarları değiştirmenize gerek yoktur, ayarları kaydedip Auth Settings kısmına geçiyoruz.
Resim-2
Authentication Method: LDAP olmalıdır.
Authentication Server: Burada Server ip si veya full Fqdn ismini girmeniz gerekmektedir.
Authentication Server Port: Değiştirmenize gerek yoktur.
LDAP Server User DN: Cn=Administrator,cn=Users,dc=hasan,dc=local burada LDAP Server a bağlanmak için yetkili kullanıcıyı gösteriyoruz.
LDAP Base Domain: Burada etki alanınız belirtiyorsunuz( örneğin; dimdik.hasan.local şeklinde olsaydı, dc=dimdik,dc=hasan,dc=local şeklinde yazmalıydım.)
LDAP usarname DN attribute : uid yazıyoruz
LDAP search filter : (&(memberOf=CN=internetAccess,CN=Users,DC=hasan,DC=local)(sAMAccountName=%s)) Kimlik doğrulaması için bu komutları kendinize göre uyarlamanız gerekmektedir. Farklı şekilde kullanmak isterseniz aşağıdaki linki inceleyebilirsiniz
http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx
Resim-3
Daha sonra istemci bilgisayarımızda Proxy algılaması için Internet Explorer > Tools > Internet Options > Connections > LAN Settings ve Proxy Server altına Proxy Server IP’si yazıyorsunuz. Bunu GPO yapılandırarak veya DHCP Server üzerinde WPAD kaydı oluşturarak otomatik almasını sağlayabilirsiniz.
Resim-4
Daha sonra ise Active Directory altında internetAccess diye Securiy grup oluşturdum ve internete erişimine izin verdiğim kullanıcıları buraya ekledim. Zaten Search filter kısmına dikkat ederseniz memberof=CN=internetAccess diye belirtmiştim.
Resim-5
Şimdide internete erişmek istediğimde kullanıcı adı ve parola soruyor. Yetkili kullanıcılar erişim sağlayabilecekler eğer yanlış kullanıcı bilgisi ile denerseniz Access Denied hatası alacaksınız.
Resim-6
Evet internete başarılı bir şekilde çıktığımı görüyorsunuz.
Resim-7
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar