Passar para o conteúdo principal
Todas as coleçõesBinario Cloud Internet NetworkVPN
Como usuários externos podem utilizar file server em nuvem com Windows, AD e VPN?
Como usuários externos podem utilizar file server em nuvem com Windows, AD e VPN?

Saiba como viabilizar o acesso remoto aos servidores de Active Directory da sua empresa via LDAP com o OPNsense!

Luana Roberta Nogueira avatar
Escrito por Luana Roberta Nogueira
Atualizado há mais de 2 anos

O que é LDAP (Lightweight Directory Access Protocol)?

LDAP é um protocolo que fornece acesso às informações de diferentes sistemas e aplicativos de computador, recuperando essas informações nos diretórios do computador.

A vantagem de utilizar o protocolo LDAP é que as informações em um diretório geralmente são lidas com mais frequência do que são gravadas ou modificadas. Isso porque um diretório é como uma base de dados, porém com informações mais descritivas e organizadas por atributos.

O protocolo LDAP permite que um aplicativo, executado na plataforma do computador de uma empresa, por exemplo, obtenha informações diversas dos usuários, como credenciais de acesso.

Centralizar esse tipo de informação simplifica o trabalho do gerenciador de informações da empresa, fornecendo um único ponto de administração. Além disso, como citado no exemplo anterior, as informações do usuário são fornecidas em um único local, reduzindo a quantidade de storage necessária para armazenar esse tipo de informação – e também a necessidade de manutenção do storage.

Um dos principais usos do protocolo LDAP é para acesso a Active Directory.

O que é OPNsense?

OPNsense é uma plataforma de segurança open source de licença BSD e núcleo monolítico com módulos carregáveis, mais utilizada pelas empresas pela sua funcionalidade de Firewall.

A plataforma inclui algumas funcionalidades, como detecção de intrusões, filtros para Web, autenticação em dois fatores e suporte para diversos tipos de end-points, de smart watches até servidores.

O OPNsense pode usar um servidor LDAP para fins de autenticação e para autorização de acesso parcial à interface gráfica do usuário (configurador Web). Ao usar o LDAP para a GUI, os privilégios devem ser definidos com o gerenciador de usuários local; para isso, é necessária a importação dos usuários da origem do LDAP.

Pré-requisitos para autenticar usuários OPNsense remotamente através do protocolo LDAP

Primeiramente, é necessário configurar a conexão remota através da VPN através do OpenVPN Client. Se você ainda não realizou este passo, confira este artigo da nossa FAQ.

Com a VPN configurada, basta seguir estes passos:

1. Adicione o servidor LDAP como fonte de autenticação no OPNsense

Para adicionar um novo servidor LDAP como fonte de autenticação no OPNsense, no gerenciador da plataforma, clique em Sistema > Acesso > Servidores.

Em seguida, clique em Adicionar servidor no canto superior direito, logo acima do formulário.

Insira as seguintes informações:

Type

LDAP

Hostname or IP address

Digite o endereço IP do seu servidor de Active Directory

Port value

389 (padrão)

Transport

TCP (padrão)

Protocol version

3

Bind credentials

Nome do domínio do servidor + usuário ADM

User DN:

cn = testusr, CN = usuários, DC = opnsense, DC = local

Password:

Senha do servidor

Search scope

One level

Base DN:

nome do seu domínio local, dc=opnsense, dc=local (opnsense.local)

Authentication containers

Selecione todas as opções da lista*

Extended Query

Manter em branco

Initial Template

MicrosoftAD

User naming attribute

sAMAccountName (padrão)

Read properties

Manter em branco

Synchronize groups

Manter em branco

Limit groups

Manter em branco

Automatic user creation

Manter em branco

Match case insensitive

Manter em branco

*Lista:

Lista de Authentication Containers para ativação do protocolo LDAP no OPNsense

Observação: caso utilize SSL / TLS, certifique-se de que a autoridade de certificação do servidor remoto esteja configurada na seção System > Trust Section.

Com as configurações realizadas na etapa acima, basta salvar e a etapa está concluída.

2. Teste o usuário cadastrado anteriormente

Para testar se o servidor está configurado corretamente, vá em System > Access > Tester. Selecione seu servidor LDAP e digite um nome de usuário + senha válidos.

Authentication Server: server-ad

Username: usuário do seu Active Directory

Password: senha do seu usuário

Interface gráfica do usuário do OPNsense na tela System>Acess>Tester

Clique em Testar e, se tudo estiver configurado corretamente, aparecerá algo como:

User: seu-user authenticated successfully.
This user is a member of these groups:
ldap_users

Se o teste falhar, a mensagem será algo do tipo:

The following input errors were detected:
- Authentication failed.

Neste caso, basta rever as credenciais de acesso e, se preciso, refazer as configurações descritas no passo 1. Com tudo pronto e devidamente testado, podemos avançar para a próxima etapa.

3. Habilite o servidor de autenticação

Acesse Sistema > Acesso > Configurações > Administração.

Na parte inferior, em Server, selecione o servidor LDAP recém-adicionado como primeira opção e, em segundo lugar, o banco de dados local. Por fim, salve.

Interface gráfica do usuário do OPNsense para habilitação do servidor de autenticação de acesso remoto ao Active Directory

4. Faça a importação de usuários

Se quiser fornecer aos usuários do LDAP / Active Directory acesso ao GUI, você precisará importar os usuários para o gerenciador de usuários local do OPNsense. Isso pode ser feito manualmente ou de maneira automática.

Manualmente:

Acesse Sistema > Acesso > Usuários. Você verá um ícone de importação no formato de de nuvem, no canto inferior direito do formulário:

Botão de importação de usuários no OPNsense

Basta clicar no ícone de importação e selecionar individualmente os usuários que você quer importar. Ao final, você terá um resultado parecido com este:

Interface gráfica do usuário do OPNsense mostrando a lista de usuários importados para acesso ao Active Directory através do GUI

Automaticamente:

Basta selecionar a opção Automatic user creation. Ela substitui as importações manuais nos casos em que os detalhes dos usuários podem ser recuperados do servidor LDAP remoto.

Porém, os usuários criados com essa opção devem ser removidos manualmente do firewall quando são removidos de um dos servidores LDAP.

Depois disso, em ambos os casos, o OPNsense mostrará uma janela com várias opções de importação, desde usuários individuais, grupos, unidades organizacionais ou o domínios inteiros:

Marque as alternativas que façam mais sentido para você administrar.

5. Ative o acesso remoto via VPN

Acesse VPN > OpenVPN > Server. Depois, clique no botão de edição (pequeno lápis ao lado da opção listada) do túnel de VPN.

Observação: se você ainda não criou uma VPN para acesso remoto ao ambiente da sua empresa, recomendamos a leitura deste artigo antes de prosseguir.

Interface gráfica do usuário OPNsense na tela de ativação de uma VPN

Aparecerá a seguinte janela:

Interface gráfica do usuário do OPNsense para edição das configurações de VPN
  • Em Server Mode, marque a opção Remote Access (User Auth)

  • Em Backend for authentication, deixe marcado em primeiro lugar o server-ad e em segundo lugar local Database

Depois, é só salvar.

6. Importe o Client Export

Vá em Client Export, na parte inferior da página Accounts / Certificates. Você deverá ver uma tela parecida com a seguinte:

Interface gráfica do OPNsense, área para importação do Client Export e acesso ao Active Directory via protocolo LDAP

Baixa o CA-SERVER feito conforme indicado neste artigo e importe o mesmo para a máquina do usuário.

A partir daí, basta importar o CA-SERVER no OPEN VPN CLIENT conforme indicado neste artigo e entrar com seu usuário de domínio do Active Directory.

Chegamos ao fim deste artigo e, se você precisar de ajuda para acessar seus servidores de maneira remota, basta acionar nosso time de suporte através do Central.

Se quiser conhecer mais sobre as soluções de conectividade, acessibilidade e segurança da Binario Cloud, visite nossa seção sobre o conjunto de produtos Binario Cloud Internet Network.

Respondeu à sua pergunta?