Pfsense Captive Portal+Radius Server+Active Directory Authentication
Arkadaşlar merhaba Bu günkü konumuzda Pfsense üzerindeki Captive portal ile Ms Radius server’ı konuşturarak Active directory içerisinde user yada Bir gruba internete çıkış yetkisi vereceğiz.
Yapacağımız işlemler ;
- Pfsense Captive Portal yapılandırması
- Server 2012 üzerine Radius server kurulumu ve yapılandırması
- Captive portal Radius Server entegrasyonu.
Burada yapımızın şeması aşağıdaki gibi olacak arkadaşlar.
İlk olarak Radius serverımızı kuruyoruz ben bu işlem için AD Makinemi kullandım 2 Rol Tek Makinede…
Server 2012 Radius Server Kurulumu
1-)
İlk olarak server manager ekranımızdan Add roles and fture u seçiyoruz.
Network Policy and Access Services seçeneğini seçeren Radius server servisini serverımıza yüklüyoruz.
İnstall diyerek kurulumumuzu tamamlıyoruz.
Evet Artık Radius serverımız yapılandırmamız için hazır durumda .
2-) ilk olarak Radius Client a sağ tıklıyoruz ve Radius clientımızı yapılandırıyoruz.
Burada Radius Client için bir isim veriyorum(Bu isim önemli çünkü pfsense üzerindeki captive portalda oluşturacağımız zone ismide aynı olacak olmak zorunda) Adres bölümüne pfsense makinemin ip adresini giriyorum.
En alt bölümde ise bir güvenlik parolası belirliyorum ve ok diyerek kayıt ediyorum.
3-) Polices –>bölümüne geliyoruz ve new diyerek bir network kuralı oluşturuyoruz.
Kuralımıza bir isim verip devam ediyoruz.
Bu sayfada Radius serverın kimlik doğrulaması yapacağı yeri add diyere seçiyorum ben burada Active directory içerisindeki tüm domain users ların internete çıkmasını istiyorum ama siz belirlediğiniz herhangi bir grubuda burada seçerek yetkilendire bilirsiniz.
Kuralımız bir geçiş izni kuralı olacak “Access granted” seçeneği ile devam ediyoruz.
Encrytion bölümünde “No encryption” kutucuğundaki işareti kaldırıyoruz.
Finis Diyerek Kuralımızı tamamlıyoruz.
Burada standart gelen kurallarla bir işim olmadığı için bunları devre dışı bırakıyorum.
4-) Pfsense üzerinde Servers–>Captive portal–>New Zone diyerek yeni bir zone oluşturuyoruz fakat burada zone name e vereceğiniz isim radius serverda Radius client e verdiğiniz isimle aynı olmalı!!
Captive portalı enable edip Uygulayacağım Networkü seçiyorum .
After Authentication Redirect URL : Seçeneğine isterseniz kimlik doğrulamasından sonra otomatik olarak yönlendirilecek site adını girebilirsiniz.
Primary Authentication bölümünde
MSCHAPv2 doğrulama metodunu seçiyoruz.
IP Address : Radius serverımın bulunduğu serverın adresini giriyorum.
Port :Burayı boşta bırakabilirsiniz 1812 olarak ta girebilirsiniz.
Shared secret : bu bölümde Radius serverda oluşturduğumuz güvenlik keyini
Radius Nas ipattribute bölününde LAN networkümü seçiyorum.
Evet arkadaşlar artık tüm ayarlarımızı yapılandırdık şimdi AD üzerinde var olan kullanıcılarımız artık internete çıkmak istediklerinde captive portal ekranı ile karşılacaklar ve burada AD kullanıcı adı ve parolalarını girerek internete çıkış sağlayabilecekler.
İnternete çıkmaya çalışan kullanıcımızı karşılayacak ekran aşağıdaki gibi olacak buraya kullanıcı bilgilerini girerek kullanıcımız internete çıkabiliyor.
Dash board üzerinde Captive portalı aktif ederek hangi kullanıcıların internete çıktığının takibini gerçekleştirebilirsiniz.
Hazırlayan
Serdar BAYRAM