joao.goncalves
/
manuais-e-documentacao-itguys
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
manuais-e-documentacao-itguys/documentacao rede e seguranca/[Nível 2] Gerenciamento De ...

3.8 KiB
Raw Blame History

MANUAL TÉCNICO - GERENCIAMENTO DE USUÁRIOS E LDAP - PFSENSE

Código: ITGINF 0016/26 | Classificação: RESTRITO Responsável: João Pedro Toledo Gonçalves | Data: {{DATA_ATUAL}}

1. HISTÓRICO DE REVISÃO

Data Versão Descrição Autor
{{DATA_ATUAL}} 1.0 Criação Inicial João Pedro Toledo Gonçalves

2. OBJETIVO

Centralizar a autenticação de VPNs e acesso administrativo da WebGUI integrando o pfSense ao Active Directory (LDAP), eliminando a necessidade de criar usuários locais manualmente.

3. PRÉ-REQUISITOS

  • IP do Controlador de Domínio (DC).
  • Usuário de Serviço no AD (ex: svc_pfsense) com senha que não expira.
  • Grupo de Segurança no AD para Admins (ex: G_TI_Admins).

4. PASSO A PASSO (EXECUÇÃO)

Etapa 1: Configurar Servidor de Autenticação

  1. Acesse System > User Manager > Authentication Servers.
  2. Clique em Add.
  3. Preencha conforme abaixo:
    • Descriptive Name: AD_Principal
    • Type: LDAP
    • Hostname or IP address: {{IP_DC_PRINCIPAL}} (ex: 192.168.0.10)
    • Port value: 389 (TCP - Standard) ou 636 (SSL - Encrypted)
    • Transport: TCP - Standard (Recomendado iniciar assim para teste, migrar para SSL depois).
    • Search Scope Level: Entire Subtree
    • Base DN: {{BASE_DN}} (ex: DC=itguys,DC=local).
    • Authentication Containers: {{USER_PC_CONTAINER}} (ex: CN=Users,DC=itguys,DC=local).
    • Bind Credentials:
      • User DN: CN=svc_pfsense,CN=Users,CD=itguys,DC=local
      • Password: Senha do usuário de serviço.
    • User Naming Attribute: samAccountName (Padrão Microsoft AD).
    • Group Member Attribute: memberOf (Padrão Microsoft AD).

Configuração LDAP pfSense

  1. Clique em Save.

Etapa 2: Testar Autenticação

  1. Vá em Diagnostics > Authentication.
  2. Selecione o servidor AD_Principal.
  3. Digite um usuário e senha válidos do AD.
  4. Clique em Test.
    • Sucesso: "User: johndoe authenticated successfully."
    • Falha: Verifique logs em Status > System Logs > Authentication.

Etapa 3: Mapear Grupos e Permissões

Para que o usuário do AD possa logar na WebGUI, o grupo dele deve ter permissão no pfSense.

  1. Vá em System > User Manager > Groups.
  2. Crie um grupo com o MESMO NOME do grupo do AD (ex: G_TI_Admins).
  3. Em Group Membership, deixe vazio (os membros virão do AD).
  4. Clique em Save.
  5. Edite o grupo criado e vá em Assigned Privileges.
  6. Adicione a permissão WebCfg - All pages (para Admins).
  7. Salve.

Etapa 4: Configurar WebGUI para usar LDAP

  1. Vá em System > User Manager > Settings.
  2. Em Authentication Server, selecione AD_Principal.
  3. Salve e Teste.

5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

Problema 1: Erro "Bind failed"

  • Causa: Usuário ou senha do Bind incorretos.
  • Solução: Teste as credenciais do svc_pfsense com a ferramenta ldp.exe no Windows ou verifique se a conta não está bloqueada.

Problema 2: Usuário loga, mas vê "No page assigned to this user"

  • Causa: O grupo do AD não foi criado no pfSense ou não tem privilégios.
  • Solução: Revise etapa 3. O nome do grupo deve ser IDÊNTICO (Case Sensitive).

6. DADOS TÉCNICOS

Campo Valor Recomendado Descrição
LDAP Port 389 (Clear) / 636 (SSL) Porta de conexão
Timeout 25 Tempo limite de conexão
Attribute samAccountName Identificador de Login AD

7. VALIDAÇÃO FINAL (Definição de Pronto)

  • Teste de autenticação no Diagnostics OK?
  • Usuário do AD consegue logar na WebGUI?
  • Permissões administrativas aplicadas corretamente?