Ir para o conteúdo

Capítulo 39 – Usuários, Grupos e Privilégios

Introdução

O OPNsense permite criar e gerenciar usuários e grupos locais que podem ser utilizados em diversos serviços que exigem autenticação e controle de acesso. Esses usuários podem autenticar-se tanto na interface Web (WebGUI) quanto em serviços como:

  • OpenVPN
  • Web Proxy (Squid)
  • Captive Portal
  • SSH
  • Console local

Mesmo quando há integração com autenticação externa (LDAP, RADIUS ou AD), os serviços de gerenciamento local — WebGUI, SSH e Console — continuam utilizando a base local para autorização e privilégios. Ou seja, mesmo usuários importados de um domínio externo precisam ser associados a grupos locais para receber permissões.

Conceitos Fundamentais

  • Autenticação: confirma quem é o usuário (ex.: login e senha).
  • Autorização: define o que o usuário pode fazer (ex.: visualizar, editar, reiniciar).
  • Grupos: agrupam permissões e devem ser usados para gerenciar acessos de forma centralizada.
  • Usuários: são vinculados a grupos, herdando automaticamente as permissões atribuídas.

Boa prática

Sempre atribua privilégios aos grupos, não diretamente a usuários individuais. Isso simplifica o gerenciamento e reduz erros de permissão.

Criando um Grupo (Exemplo: Estagiários)

  1. Vá em System → Access → Groups.
  2. Clique em + Add para criar um novo grupo.

  3. Preencha conforme abaixo:

    Group name estagiarios
    Descriptive name Grupo para estagiários com acesso limitado
    Assigned Privileges Lobby: Dashboard

  4. Clique em Save.

Acesso restringido

O grupo "estagiarios" terá permissão apenas para visualizar o Dashboard do firewall.

Criando um Usuário (Exemplo: Luciano)

  1. Vá em System → Access → Users.
  2. Clique em + Add.

  3. Preencha conforme o exemplo:

    Username luciano
    Password abc#123 (exemplo)
    Full name Luciano (opcional)
    Email (opcional)
    Group Membership estagiarios

  4. Clique em Save.

O usuário luciano, como membro do grupo estagiarios, poderá acessar o firewall e visualizar apenas o Dashboard.

Expansão de privilégios

Para ampliar o acesso, basta editar o grupo e adicionar novos privilégios.

Criando Grupos Específicos para VPN

Crie grupos distintos para separar perfis de uso, por exemplo:

Grupo Finalidade
VPN-USUARIOS-INTERNOS Funcionários com acesso interno
VPN-PARCEIROS Acesso restrito de parceiros externos

Esses grupos podem ser usados como Aliases de OpenVPN nas regras de firewall, controlando o acesso de forma granular conforme a origem do usuário.

Criando um Usuário Administrador

  1. Vá em System → Access → Users → + Add.

  2. Preencha conforme abaixo:

    Username luciano.adm
    Password abc#123 (exemplo)
    Group Membership admins

  3. Clique em Save.

Como membro do grupo admins, esse usuário terá acesso total à WebGUI e aos recursos administrativos.

Segurança

Crie um administrador alternativo e desabilite o usuário root, que é amplamente conhecido e alvo comum de ataques.

Acesso ao Firewall via SSH

Pré-requisitos

Para permitir o acesso via SSH, é necessário:

  • Habilitar o serviço SSH.
  • Definir um shell válido para o usuário.
  • Garantir que o usuário pertença ao grupo admins.

Importante

Sem shell definido, o login é aceito, mas nenhum comando poderá ser executado.
Além disso, nas versões mais recentes do OPNsense só é possível acessar o Shell caso o usuário seja explicitamente membro do grupo Admins.

Habilitar o SSH

  1. Vá em System → Settings → Administration.

  2. Na seção Secure Shell, marque:

  3. Enable Secure Shell

  4. Permit root user login (opcional, apenas para troubleshooting)
  5. Permit password login
  6. Clique em Save.

Associar um Shell ao Usuário

  1. Vá em System → Access → Users.
  2. Clique em Edit no usuário desejado.

  3. Defina:

  4. Login shell: /bin/tcsh

  5. Group Membership: admins
  6. Clique em Save.

Conectando via SSH

No terminal (Windows PowerShell, CMD ou Linux):

ssh luciano@192.168.254.1

Durante o primeiro acesso, confirme o fingerprint digitando yes. Digite a senha (sem retorno visual) e pressione Enter.

Se configurado corretamente, o shell do sistema será aberto.

Permissões no Shell (sudo)

Mesmo com acesso SSH ativo, comandos administrativos (como reboot) podem retornar:

reboot: Operation not permitted

Isso ocorre porque o OPNsense usa o esquema de autorização sudo, e o grupo admins da WebGUI não possui automaticamente privilégios de root no shell.

Habilitar o sudo

  1. Vá em System → Settings → Administration.

  2. Na seção Authentication, configure:

    Sudo Ask Password ou No Password
    Allowed Groups wheel, admins

  3. Clique em Save.

  4. Reconecte via SSH e teste:
sudo reboot

O comando deverá ser executado com sucesso.

Importante

Use Ask Password em ambientes corporativos — exige senha a cada execução de comando privilegiado e reduz riscos de mau uso.

Boas Práticas Gerais

  • Desabilite o root após criar um administrador alternativo.
  • Atribua privilégios a grupos, não a usuários.
  • Senhas fortes: evite combinações simples; use senhas complexas.
  • Separação de funções: grupos distintos para VPN, helpdesk, marketing-externo, consultor-sap, etc.
  • Contas individuais: cada administrador deve possuir sua própria conta.
  • Auditoria: habilite logs de autenticação e monitoramento de login.
  • Integração corporativa: prefira LDAP/AD em ambientes empresariais.
  • MFA: utilize autenticação multifator na VPN e na WebGUI sempre que possível.

Casos de Uso

1. HelpDesk com Acesso Limitado

Objetivo: permitir visualização do Dashboard e status da VPN sem poder alterar configurações.
Configuração: grupo HelpDesk com privilégios “Lobby: Dashboard” e “VPN: (OpenVPN) Status”.
Benefício: delegação segura e sem risco de alterações indevidas.

2. Separação de Usuários de VPN

Objetivo: distinguir colaboradores internos de parceiros externos.
Configuração: grupos VPN-USUARIOS-INTERNOS e VPN-PARCEIROS, usados como aliases de origem nas regras de firewall.
Benefício: maior controle e facilidade de manutenção.

3. Usuários Administradores Individuais

Objetivo: auditoria e rastreabilidade de ações realizadas no firewall.
Configuração: cada administrador com conta própria, inseridos no grupo admins.
Benefício: maior segurança e possibilidade de revogação isolada.

4. Captive Portal em Pequenos Ambientes

Objetivo: autenticar visitantes sem integração com AD.
Configuração: criação de usuários locais e associação ao grupo com permissão de autenticar no portal.
Benefício: solução simples, rápida e eficaz para redes pequenas.

5. Preparação para Integração com AD

Objetivo: preparar ambiente local para futura sincronização LDAP/AD.
Configuração: grupos locais equivalentes aos do AD (ex.: Financeiro, TI, Marketing).
Benefício: migração mais fluida e redução de retrabalho.

Conclusão

A gestão de usuários, grupos e privilégios no OPNsense é um dos pilares de segurança da rede.
Centralizar permissões em grupos bem definidos, aplicar o princípio do menor privilégio e registrar as atividades de acesso são práticas que garantem controle, rastreabilidade e conformidade em qualquer ambiente.