На основе принадлежности пользователей к определенным группам AD - удобно раздавать сетевые рулсеты. При этом, в роли NPS Windows Server - решить данную задачу гибко не получится. Дело в том, что политики NPS работают по принципу “first match”, т.е. мы не сможем суммировать правила для пользователя, состоящего в нескольких разных группах одновременно, ведь сработает только первое совпадение по группам с первым списком доступа в соответствующей политике.

Настройка LDAP во freeradius позволяет решить эту проблему достаточно гибко (здесь возможно суммирование рулсетов) и безопасно. Для повышения безопасности данном примере мы будем использовать LDAPS и учётную запись с ограниченными правами в домене AD.

1. Устанавливаем модуль freeradius для работы с LDAP.

 sudo apt install freeradius-ldap

2. Подключаем конфиг модуля из доступных модулей в используемые через симлинк.

 ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/ldap   

3. Дальнейшую конфигурацию (вплоть до п.18) мы будем производить в файле /etc/freeradius/3.0/mods-enabled/ldap.

4. Пропишем адрес контроллера домена следующим образом:

 server = 'ldaps://dc01.arasaka.local:636'

Здесь можно указать адреса и других контроллеров домена, перечислив в отдельной секции server:

 server = 'ldaps://dc02.arasaka.local:636'

Опцию port конфига исплользовать не нужно, т.к. он указан явно в опции server. Закомментируем её, если она записана в конфиге.

5. Настроим учётную запись, под которой будем подключаться к контроллеру домена.

  identity = 'CN=vpn radius,OU=RADIUS,DC=arasaka,DC=local'
  password = mypassword

Здесь будет достаточно учётной записи, обладающей правами обычного пользователя домена.
Важно: имя учётной записи (vpn radius) - это не логин пользователя в AD, а его CN, который можно посмотреть в свойствах учётной записи на вкладке Attribute Editor.

6. Настроим базовое пространство домена, откуда будет производиться дальнейший поиск:

 base_dn = 'DC=arasaka,DC=local'

7. В секции “User object identifiication” изменим фильтр таким образом, чтобы он соответствовал фильтру AD, где используется аттрибут sAMAccountName, а не юниксовый uid.

 filter = "(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})"

8. В секции “User membership checking” укажем OU домена AD, в котором будем искать группы для правил.

 base_dn = 'CN=RADIUS,DC=office,DC=arasaka,DC=local'

9. В этой же секции поменяем аттрибут группы на group вместо юниксового posixGroup.

 filter = '(objectClass=group)'

10. Раскомментируем опцию отличающего аттрибута группы:

 name_attribute = cn

11. Раскомментируем опцию фильтра членства:

 membership_filter = "(|(member=%{control:${..user_dn}})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"

12. Раскомментируем опцию аттрибута членства:

 membership_attribute = 'memberOf'

13. Запретим кешироование имен и резрешим кеширование DN:

 cacheable_name = 'no'
 cacheable_dn = 'yes'

14. Изменим стандартный аттрибут кеширования, раскомментировав строку:

 cache_attribute = 'LDAP-Cached-Membership'

15. Для совместимости с AD обязательно оставим две опции (раскомментированы по умолчанию)

 chase_referrals = yes
 rebind = yes

16. В секции tls отключаем starttls, т.к. он нужен только в случае использования tls поверх 389 порта, что в нашем случае не релевантно, поскольку мы используем SSL по 636.

 start_tls = no

17. В этой же секции указываем путь к сертификату корневого УЦ, который выдал сертификат LDAPS серверам (контроллерам домена), а также путь к папке с сертификатами.

 ca_file = ${certdir}/CA1.pem
 ca_path = ${certdir}   

В папку /etc/freeradius/3.0/certs необходимо залить сертификат УЦ, а также сертификаты контроллером домена в pem-формате.

Выгрузить сертификаты в pem-формате можно следующим образом: из хранилища сертификатов Windows сделать экспорт, при экспорте выбрать “Base-64 encoded X.509 (.CER)”. После выгрузки можно просто переименовать расширение сертиификата в pem.

18. Теперь в файле /etc/freeradius/3.0/sites-enabled/default в секции post-auth можно писать правила, которые будут суммировать списки доступа на основании членства в группах (“test-network”, “management-network” и т.д.), используя аттрибут LDAP-Group:

if (&LDAP-Group[*] == "test-network") {
   update reply {
      Cisco-AVPair += "route=10.100.0.0 255.255.255.0",
      Cisco-AVPair += "route=10.101.0.0 255.255.255.0",
      Cisco-AVPair += "route=10.102.0.0 255.255.255.0",
}

if (&LDAP-Group[*] == "management-network") {
   update reply {
      Cisco-AVPair += "ip:inacl#93=permit ip any any"
      Cisco-AVPair += "route=0.0.0.0 0.0.0.0",
      }
}

19. Данную схему удобно использовать, к примеру, для раздачи доступов пользователям OpenVPN.

В pfSense проверить проверить добавление правил можно использовав пункт меню status→openvpn. Кликнув на информацию о сеансе - можно увидеть правла, если всё сделано верно.