OPNsense用户手册-用户管理
OPNsense的用户管理器允许控制对配置器的不同部分(页面)的访问,以及控制对每个用户的特定服务的访问。
认证
OPNsense为需要用户身份验证的服务提供与外部服务器的集成。这些服务包括:
IPsec
OpenV-P-N
强制网络门户
代理
集成到OPNsense的是Local User Database(本地用户数据库)和Voucher Server(凭证服务器)。凭证服务器与强制网络门户一起使用。
目前支持的外部服务包括:
LDAP(OpenLDAP,MS Active Directory,Novell eDirectory)
Radius
授权
除了身份验证之外,还可以使用外部服务器设置访问部分配置的用户授权,但是为了向用户授予适当的权限,需要在OPNsense的本地用户管理器中导入这些权限。这样,人们可以根据其外部存储的密码验证用户,并对用户可以访问的配置页面进行精细控制。
用户,组和权限
使用本地用户管理器时,无论是独立使用还是与外部认证服务器组合,都可以定义组的特定权限。组中的任何人都可以被授予相同的访问权限。
服务
可以使用System->Access->Settings中的设置配置要使用的身份验证服务。在这里,您还可以找到用户会话的超时设置,对于本地用户帐户,您可以选择使用密码策略约束来提高安全性。
下面是可用的设置概述:
Session Timeout | 会话超时,一般使用默认值。 |
Authentication Server | 要使用的主要身份验证方法 |
Authentication Server (fallback) | 主服务失败时的后备选项。 |
Policy | 启用密码约束策略。 |
Duration | [Policy]密码的有效时间,可选择定义用户更改密码的频率。 |
Length | [Policy]要求的最小密码长度。 |
Complexity | [Policy]强制执行密码复杂性检查。 |
配置
本地用户管理器
创建用户和组
使用OPNsense的本地用户管理器,可以添加用户和组,并定义授予对GUI的某些部分(Web Configurator)的访问权限。
添加用户
要添加新用户,请转到System->Access->Users,然后单击表单右下角的+号。
Disabled | 可用于(暂时)禁用帐户 | |
Username | 唯一的用户名 | |
Password | 一个强大的密码 | |
Full name | 可选,完整用户名 | |
Expiration date | 可选,如果想帐户过期,请输入mm / dd / yyy | |
Group Membership | 可选,选择一个或多个组 | |
Certificate | 可选,检查是否应创建用户证书 | |
OTP seed | 可选,输入或生成OTP种子(base32) | |
Authorized keys | 可选,粘贴ssh密钥以进行ssh控制台访问 | |
IPsec Pre-Shared Key | 可选,IPsec PSK |
创建组
转到System->Access->Groups,然后单击表单右下角的+号。
输入Group name组名称和Description描述,并将用户添加到组中。
为组添加权限
创建组后,可以通过编辑组来添加权限。转到System->Access-Groups,然后单击要更改的组旁边的编辑符号(铅笔)。
要分配权限,只需单击“ Assigned Privileges分配的权限 ”右侧的铅笔图标,就会显示一个表单,其中可以选择或取消选择每个页面; 这里也可以允许用户shell帐户访问(控制台)。
此表单顶部的搜索底部可用于快速查找正确的页面。
做出正确的选择后,单击“ Save保存”来存储新设置。
LDAP
配置
LDAP是Microsoft Active Directory,OpenLDAP和Novell eDirectory使用的轻量级目录访问协议,仅举几例。
OPNsense可以使用LDAP服务器进行身份验证以及访问(部分)图形用户界面(Web配置程序)的授权。使用LDAP作为GUI时,必须使用本地用户管理器定义权限,这样才需要从LDAP源导入用户。
在本操作方法中,我们将向您展示如何使用Microsoft Active Directory服务器进行配置。如果您只需要LDAP来获取***等服务,那么您可以跳过步骤3-5。
先决条件
需要一台配置好的LDAP服务器(示例基于MS AD)。配置OPNsense防火墙并能够访问LDAP服务器。
第1步 - 添加新的LDAP服务器
要添加新的LDAP服务器作为身份验证源,请转到System->Access->Servers ,然后单击表单上方右上角的Add server 添加服务器。
输入以下信息:
Descriptive name | ws2012 | 输入描述性名称 |
Type | LDAP | 选择LDAP |
Hostname or IP address | 10.10.10.1 | 输入LDAP服务器的IP地址 |
Port value | 389 | 输入端口号,默认为389 |
Transport | TCP - Standard | 选择标准或加密 |
Peer Certificate Authority | 使用SSL加密时,请选择CA. | |
Protocol version | 3 | 选择协议版本 |
Bind credentials | CN = testusr,CN =Users, | |
User DN: | DC = opnsense,DC =local | 输入您的凭据 |
Password: | secret | 总是使用强密码 |
Search scope | ||
Level: | Entire Subtree | 选择“整个子树”以检索所有子树 |
Base DN: | DC = opnsense,DC =local | 输入基本DN |
Authentication containers | 选择 | 单击并从列表中选择容器 |
Extended Query | &(objectClass=Person) | 将查询,限制结果扩展到人员 |
Initial Template | MicrosoftAD | 选择LDAP服务器类型 |
User naming attribute | samAccountName | 根据初始模板自动填写 |
注意:单击“ Authentication containers身份验证容器”旁边的“ 选择”按钮时,将显示下面类似的内容:
提示:该Extended Query扩展查询可用于选择谁是特定组的成员用户。可以使用以下内容: &(memberOf=CN=myGroup,CN=Users,DC=opnsense,DC=local)以仅选择组“myGroup”的成员。要在Windows下将用户添加到特定组,只需编辑组属性,然后选择添加...在“ 成员 ”选项卡下添加用户 。
第2步 - 测试
要测试服务器是否配置正确,请转至System-> Access-> Tester 并选择您的LDAP服务器并输入有效的用户名+密码。点击 测试,如果一切设置正确,它将显示:
注意:当仅限于一个组时,组名称将不会显示在列表中。
如果不是(或您输入的无效凭证),则显示:
第3步 - 导入用户
如果您希望LDAP / Active Directory用户可以访问GUI,则需要将用户导入本地用户管理器。转到System->Access->Users, 您将在表单的右下角看到云导入图标。
单击云导入图标开始导入用户。
将向各个用户显示一个新表单,选择您要导入的表单。
第4步 - 更新ldap用户权限
现在,如果您转到System-> Access-> Users,您将看到所有用户,包括新导入的ldap用户。您可以为这些用户创建特定组,以便轻松管理权限或使用之前创建的组。
通过名称旁边的铅笔图标打开ldap用户(编辑)时,您会注意到差异,因为User Distinguished name(用户可分辨名称)将从LDAP服务器显示,如下所示:
第5步 - 更新系统访问设置
现在我们已经从LDAP服务器配置、验证和导入用户,我们需要更改默认设置以允许LDAP用户登录。
转到System->Access->Settings,将身份验证服务器从Local Database(本地数据库)更改为 新创建的LDAP服务器。将后备保留在Local Database(本地数据库)上,然后单击“ Save and Test(保存并测试)”。
测试结果应如下所示:
Radius
在v-p-n或强制门户等服务中配置Radius服务器进行用户身份验证很简单,只需转到System-> Access-> Servers,然后单击右上角的Add server。
填写表格:
Descriptive name | radius_test | 输入描述性名称 |
Type | Radius | 选择Radius |
Hostname or IP address | 10.10.10.1 | 输入Radius服务器的IP |
Shared Secret | secret | Radius服务器的共享密钥 |
Services offered | Authentication | 选择身份验证,用于强制网络门户+记帐 |
Authentication port value | 1812 | 端口号,1812是默认值 |
Authentication Timeout | 5 | Radius超时响应请求 |
要测试服务器是否配置正确,请转至System-> Access-> Tester测试Radius服务器。
如果要使用FreeRADIUS插件,请将服务器设置为127.0.0.1,并且不要忘记在FreeRADIUS配置中添加客户端。
转载于:https://blog.51cto.com/fxn2025/2306752
OPNsense用户手册-用户管理相关推荐
- oracle用户手册在哪里,Oracle用户管理常用操作参考手册
北大青鸟软件培训-网上学院: Oracle用户管理之一.创建profile文件. SQL>Create profile 文件名 limit FAILED_LOGIN_ATTEMP ...
- dva + antd + mockjs 实现用户管理
1.安装dva-cli npm install dva-cli -g 2.创建应用 dva new dvadashboard [dvadashboard为项目名] 3.安装mockjs npm ins ...
- Saltstack 用户管理
最近测试组来了一大波,最为公司测试那必须要有qa环境,测试组老大跟我关系很好,他们组不少人对Linux也很了解,平时弄个东西啥的也能自己搞定,软磨硬泡加上最近真的很忙给他们配置了jenkins和开了q ...
- puppet aix之自动化用户管理
一. 用户组的管理 (一) Puppet组管理特性 1. manages_aix_lam 用来管理AIX的LAM(Loadable Authentication Module)系统. 2 ...
- OA项目12:系统管理之用户管理
首注:本学习教程为传智播客汤阳光讲师所公布的免费OA项目视频我的文字版实践笔记,本人用此来加强巩固自己开发知识,如有网友转载,请注明.谢谢. 一 之前在第8节时已经将User实体及映射文件建立好了,所 ...
- 用户管理之用户的查询获取
用户管理 在用户页面我们需要完成两个功能: 1.用户信息的查询获取 2.增加用户 用户的查询获取 [获取单一数据和多个数据可以通过判断合并到一块写代码] 接口分析 请求方式:GET /meiduo_a ...
- 用户管理 之 用户(User)和用户组(Group)配置文件详解
作者:北南南北 来自:LinuxSir.Org 摘要:本文详解用户(User)和用户组(Group)的配置文件,本文是<Linux 用户(User)和用户组(Group)管理概述>文档的关 ...
- 服务器用户设置备份,用户管理的备份
用户管理的备份 准备: 查询视图获取数据库文件信息 V$DATAFILE V$CONTROLFILE V$LOGFILE DBA_DATA_FILES SQL> select name ,sta ...
- Linux用户配置密码,linux用户配置文件passwd和密码配置文件shadow,用户管理,组管理...
一.linux和windows互传文件 1.安装支持包:lrzszyum -y install lrzszputty工具 不支持lrzsz 2.rz windows文件fail2ban-0.8.1 ...
- Node.js + Express 4.x + MongoDB 构建登录注册-简易用户管理(四)
登录和注册的功能算实现了,下面封装DBHelp和增加一个简单的用户管理,这样增删查改就集齐了. 在routes文件夹下面新建DBHelp.js,代码如下: const MongoClient=requ ...
最新文章
- Python --深入浅出Apriori关联分析算法(二) Apriori关联规则实战
- 如何安装并使用Windows 8 Client Hyper-V
- 如何用图表控件实现点击图例图标隐藏图表序列
- python(matplotlib2)——legend图例,Annotation图片注解
- 201712-2放学
- 大话设计模式学习心得2
- WebSocket客户端连接成功后,返回的socket里有用的字段
- 运营商服务器系统,浪潮服务器助力运营商三大支撑系统上云
- linux shell 脚本中 字符串截取并赋值引用
- android中的回调简单认识
- C语言学习编程软件推荐
- iphone型号表_iPhone12各版本有什么区别 苹果12四款机型配置表一览
- java oa系统二次开发_浅谈OA系统的二次开发
- rk3288 安卓7.1显示正确的ICCID值
- 微信小程序 云开发 欢迎登录注册
- 如何更高效地使用Google搜索
- android 各个存储路径及获取方法总结
- MNL——多项Logit模型学习笔记(二)
- 学姐给我的C语言打机枪代码(有声音哦)
- MyBatis-Spring-Boot-Starter学习
热门文章
- 已知二叉树的前序序列跟中序序列求后序序列(C语言)
- Excel提示:您的组织策略阻止我们为您完成此操作
- word怎么让封面、目录没有页码,页码从正文开始
- 2021宿州市地区高考成绩排名查询,2021年宿州所有小学名单及排名,宿州最好的小学有哪些...
- 如何把手变成手控_女生的手怎样变好看?
- 关于23届大数据岗实习总结
- 什么是SPA,有什么优缺点
- 移动应用开发--实现QQ登录界面(Android)
- 超详细的Python实现新浪微博模拟登陆(小白都能懂)
- 引入icon.styl字体文件无法解析报错