前言

之前在家里的服务器中折腾了一套Windows Active Directory，后面简称AD域了。用了很长一段时间后发现它的用户管理以及权限分组是真好用，并且可以和很多应用进行对接。这不，折腾下PFSense。

另外，不是为了秀英文，单纯是这个系统当前我买了许可证升级到plus之后它的中文设置了不生效（不知道哪个版本会修复），其它语言我不认识，只能设置成默认的英文显示了。

折腾之路

创建认证服务

首先是需要在PFSense的管理页面先创建一个新的LDAP的认证服务，当然也可以用RADIUS。

来到 System -> User Manager -> Authentication Servers 点击添加进入新的配置页面。

这上面先配置认证服务器的名字、IP、Base DN以及认证用的组织范围，这里需要注意的是，要把Search Scope的Level调到Entire Substree,也就是整个子树，不然它就只会搜索第一层导致找不到你的用户。

然后接着往下滑。你会看到有个默认被勾选的Bind anonymous 我们需要取消勾选它。

取消勾选后就可以填写你的bind用户名密码。

记住要把Initial Tempate 选为Microsoft AD。最后点击最下面的保存按钮

到了这里就算是完成了第一步了。

创建权限组

这里需要同时在Pfsense以及AD中创建对应的权限组

PFSense

首先点击当前页面的Group选项进入子页面，然后点击添加

需要填入群组名，Scope选择remote远程类型，可以选择性的把pfsense本地认证服务中已经存在的用户加到这个新的群组。

点击保存后出现下面的群组：

我们需要再次进入编辑界面进行权限分配

点击添加选择最高权限

只需要选中ALL pages这一个就可以，最后直接保存

AD

然后需要去AD中创建相同的群组。

首先到服务器管理器，然后点击右上角的工具找到用户和计算机

然后找到你的组织结构去对应的地方创建一个组

组的名字需要和刚刚在PFSense中的保持一致

然后往组里添加成员并保存

到这里我们的组就搞定了。

应用权限组

最后直接来到PFSense中

把Settings下的认证服务器改为最开始创建的LDAP的就完成了，之后就可以使用AD域用户进行登陆