En este post vamos a ver cómo configurar un servidor LDAP en OPNSense, así nos vamos a poder autenticar al firewall opnsense con usuarios del Active Directory y configurar vpn de acceso remoto con usuarios del Active Directory.

La topología que vamos a utilizar será esta:

• Accedemos a System > Access > Servers > +:

• Introducimos los datos necesarios para conectarnos a nuestro Active Directory:

• Como podemos ver, ya lo tenemos creado:

• Ahora sobre Firewall > Rules > IPsec debemos de crearnos esta regla de salida, para que OPNSense pueda acceder al puerto LDAP (389) de uno de nuestros controladores de dominio:

• Ahora, como nuestros controladores de dominio los tenemos en la parte on-premise, detrás de un fortigate, y como ya tenemos configurada la VPN IPSec site to site, debemos de configurar esta regla, para que OPNSense pueda acceder al puerto LDAP (389) de uno de nuestros controladores de dominio:

• Para comprobar que todo funciona correctamente y que OPNSense se comunica con nuestro servidor LDAP de Active DIrectory, accedemos a System > Access > Tester e introducimos las credenciales de uno de nuestros usuarios del dominio, damos clic a Test, y si todo está correctamente configurado, podemos ver que el usuario se autentica:

• Una vez que ya tenemos comunicación con nuestro Active Directory, vamos a configurar que podamos hacer logon en el OPNSense con uno de nuestros usuarios del dominio, para ello, lo primero que nos vamos a crear es un grupo de administradores de LDAP, accedemos a System > Access > Groups > +:

• Le indicamos un nombre y una descripción:

• Como podemos ver, aquí lo tenemos creado:

• Ahora debemos de editar los permisos de este grupo, y le asignamos todos los privilegios:

• Una vez creado el grupo, OPNSense requiere que todas las cuentas de usuario LDAP existan en la base de datos local, por lo que procederemos a crear la cuenta, System > Access > Users > +, esta cuenta la añadimos como miembro del grupo que hemos creado, la password no tiene porque ser la del usuario del dominio, podemos poner otra, lo que hace OPNSense es verificar primero la base de datos del LDAP y luego la base de datos local, por lo que si ponemos otra password a este usuario podemos acceder con las dos password (una del LDAP y la otra Local):

• Como podemos ver, aquí tenemos el usuario creado:

• A continuación, vamos a habilitar la autenticación LDAP, para ello, accedemos a System > Settings > Administration > Authentication > Server y seleccionamos la autenticación por LDAP Active Directory como primera opción, y como segunda opción seleccionamos la base de datos local, clic a Save:

• Ahora ya podemos acceder con las credenciales de nuestro usuario del dominio:

Saludos y espero que os resulte de ayuda