martedì 29 aprile 2014

L'uso dei gruppi nell'autenticazione LDAP/AD

In quest'articolo vorrei riprendere ed approfondire quanto già pubblicato nell'articolo del 31 luglio 2012 dal titolo Autenticazione LDAP/AD in pfSense 2.0 

Nell'approfondimento vedremo come impiegare dei gruppi di sicurezza di windows per gestire in modo più agevole gli utenti che si vuole autorizzare all'uso di una qualche funzione di pfSense. 
Nel nostro esempio supporremo di dover utilizzare l'atenticazione ActiveDirectory per gestire l'accesso vpn.

Supponiamo di avere un dominio Active Directory denominato efuture.it configurato esattamente seguendo le indicazioni dell' articolo Autenticazione LDAP/AD in pfSense 2.0 e di voler apportare una modifica per fare in modo che gli utenti appartenenti al gruppo vpntest possano connettersi in vpn alla rete aziendale autenticandosi con le credenziali di dominio.

Vpntest è un security group di active directory e più precisamente appartenente alla OU Gruppi Efuture il cui percorso LDAP completo è: OU=Gruppi Efuture,DC=efuture,DC=it

A questo punto dovremo introdurre nella nostra configurazione il percorso LDAP corretto per restringere l'accesso al solo gruppo vpntest.

Selezioniamo System > User Manager > Server
Clicchiamo sul pulsante di edit corrispondente alla definizione del nostro server, la schermata sarà la seguente:
 


Spuntiamo la voce  Extended Query e riportiamo nel campo di testo la seguente stringa:
memberOf:CN=vpntest,OU=Gruppi Efuture,DC=Efuture,DC=it


Clicchiamo su Save
Da questo momento saranno ammissi solo utenti appartenenti al gruppo vpntest.

Per effettuare la verifica della configurazione possiamo selezionare Diagnostics > Authentication, poi selezionare la configurazione ed inserire username e password per il test. Attenzione, non è necessario specificare il dominio.

Posta un commento