Introdução
Este tutorial tem como objetivo exibir a configuração do Web Filter com a autenticação no Active Directory, podendo, assim, utilizar os usuários já cadastrados no mesmo.
Esta facilidade permite ao administrador da rede gerenciar as aprovações de navegação de usuários e seus respectivos grupos diretamente no servidor AD.
Criar novo Server no OpnSense
Crie um novo Server, que será vinculado ao Web Filter futuramente.
O caminho para esta opção é: System > Access > Servers >> “+ ADD”
Clique em “Add”, no canto superior direito, para incluir o novo Server:
Fig. 1 - System: Access: Servers
Preencha os campos abaixo, conforme exibido abaixo:
- Descriptive name: (Adicione um nome descritivo)
- Type: “LDAP”
- Hostname or IP address: (Endereço IP do Servidor AD)
- Port value: “389”
Fig. 2 - System: Access: Servers
User DN: Digite seu domínio e seu usuário com permissões de administrador.
- Search scope: “Entire Subtree”
- Base DN: Digite o caminho do seu domínio; ex.: dc=cloudfence,dc=local
- Após inserir os dados acima, você poderá visualizar as informações contidas em seu servidor AD clicando no botão "Select".
Fig. 3 - System: Access: Servers
- Selecione o contêiner que você deseja que seu novo servidor consulte para validar as autenticações.
Fig. 4 - System: Access: Servers
- Initial Template: “Microsoft AD”
- Salve as configurações atuais clicando em "Save".
Fig. 5 - System: Access: Servers
Teste as Configurações
Para testar as configurações feitas, vá em: System > Access > Tester
Fig. 6 - System: Access: Tester
Escolha o novo servidor que deseja validar, insira o usuário cadastrado no AD, a senha do mesmo depois clique em "Test”
Fig. 7 - System: Access: Tester
Se for bem sucedido, aparecerá uma mensagem conforme a imagem abaixo:
Fig. 8 - System: Access: Tester
Web Proxy - Configurações
Abaixo serão apresentadas as configurações necessárias para vincular a autenticação com servidor AD no Wel Filter.
Instale o plug-in “os-web-filter” em: System > Firmware > Plugins :
Fig. 9 - System: Firmware
Acesse as configurações do Web Proxy em: Services > Web proxy > Administration > aba General Proxy Settings,
Ligue o botão “advanced mode” habilite as opções conforme instruções abaixo:
- “Enable proxy”
- “Enable DNS v4 first”
- “Supress version string” e depois em “Apply”
Fig. 10 - System: Web Proxy: Administration
Clique na aba “Forward Proxy”, selecione a interface que será permitida a usar o WebFilter, configure a porta 8080 (sugestão) e em seguida clique em “Apply”:
Fig. 11 - System: Web Proxy: Administration
Clique na seta de seleção da aba “Forward Proxy” e depois clique em “Authentication Settings”:
Fig. 12 - System: Web Proxy: Administration
Em “Authentication method” selecione o Server configurado anteriormente:
Fig. 13 - System: Web Proxy: Administration
Web Filter - Configurações
O Web Filter é a tela de configuração onde é vinculado o nome de seu servidor AD, habilita-se o Single Sign On e também habilita-se o Filtro de Navegação.
O camiho para estas configurações é em “Cloudfence > Web Filter > General”.
Habilite as opções conforme exibido abaixo:
- "Enable WebFilter"
- "Windows SSO Enabled"
- "Active Directory Hostname"
- “Enabled Categories” - escolha quais categorias deseja que apareça na lista das regras do Web Filter.
Fig. 14 - Cloudfence: Web Filter: General
Inicie o Webfilter em Service: Lobby > Dashboard > Services:
Fig. 15 - Lobby: Dashboard
Verifique se o serviço foi iniciado:
Fig. 16 - Lobby: Dashboard
Em "System > Log Files > General" é possível acompanhar o processo de inserção no domínio através dos logs, filtrando pela palavra “webfilter” e procurando a linha onde diz que o firewall foi inserido no domínio.
Fig. 17 - System: Log Files: General
Verifique no seu servidor AD se o nome do firewall está listado.
Fig. 18 - Active Diretory Users and Computers
No exemplo acima o nome do firewall é "cb300", que é o mesmo nome que está configurado no OPNSense:
Fig. 19 - OPNsense hostname
Na aba “Rules” é onde criam-se as regras personalizadas de filtro de navegação.
Para adicionar uma nova regra, clique no sinal “+”:
Fig. 20 - Cloudfence: Web Filter: General
Dentro da tela de edição de regra, habilite o “advanced mode” para visualizar todas as opções disponíveis.
Ao criar a regra, é possível usar um Grupo do AD ou Usuário de AD.
- AD Group: Permite selecionar um grupo específico para a regra:
Fig. 21 - Cloudfence: Web Filter: General
- AD User: Permite selecionar usuário(s) específico(s) para a regra.
Fig. 22 - Cloudfence: Web Filter: General
- Categories: selecione as categorias que serão bloqueadas ou permitidas na regra.
Fig. 23 - Cloudfence: Web Filter: General