Ir para o conteúdo

Capítulo 40 – Integração com LDAP (Active Directory)

Introdução

Até aqui, exploramos o uso de usuários locais no OPNsense para autenticação em serviços como VPN, Captive Portal e WebGUI. Neste capítulo, veremos como integrar o Active Directory (AD), permitindo que os usuários da rede aproveitem as mesmas credenciais corporativas (login e senha) para autenticar-se no firewall.

Essa integração centraliza a autenticação, simplifica o gerenciamento e permite aplicar políticas de segurança unificadas entre o domínio e o OPNsense.

Pré-Requisitos

Antes de configurar a integração, você precisará das seguintes informações do seu ambiente Active Directory:

Item Exemplo
Usuário de integração opnsense-ldap
Senha Senhas3gur@
DN do usuário CN=opnsense-ldap,CN=Users,DC=citrait,DC=corp
Base DN DC=citrait,DC=corp
Container dos usuários OU=CITRAIT,DC=citrait,DC=corp
Grupo no AD ACESSO_VPN (com luciano como membro)

Importante

Use sempre DNS internos do AD para que o OPNsense resolva corretamente os controladores de domínio (DCs). Para redundância, configure o FQDN do domínio em vez de um IP específico.

Criando o Usuário de Integração no Active Directory

  1. Acesse o Controlador de Domínio (PDC).
  2. Abra o console Active Directory Users and Computers.
  3. Crie o usuário opnsense-ldap dentro do container Users.

  4. Configure:

    • Senha forte e complexa.
    • Marque Password never expires.
    • Não adicione permissões administrativas — o usuário precisa apenas de leitura no AD.

Importante

Equipes de TI com maior aderência aos padrões de segurança corporativa, possuem um planejamento para trocar senhas de contas de serviços periodicamente. Para o exemplo acima, deixe habilitada a opção Password Never Expires apenas se estiver confortável com a configuração proposta em laboratório.

Configurando o Servidor LDAP no OPNsense

  1. Acesse System → Access → Servers.
  2. Clique em + Add para criar um novo servidor de autenticação.

  3. Preencha os campos conforme a tabela:

    Campo Valor
    Descriptive name LDAP-PARA-VPN
    Type LDAP
    Hostname or IP address citrait.corp (ou IP do AD)
    Port value 389 (LDAP) ou 636 (caso utilize LDAPS)
    Transport TCP - Standard (ou SSL - Encrypted para LDAPS)
    Protocol version 3
    Bind credentials – User DN CN=opnsense-ldap,CN=Users,DC=citrait,DC=corp
    Bind credentials – Password Senhas3gur@
    Search scope Entire Subtree
    Base DN DC=citrait,DC=corp
    Authentication containers Marque as OUs com os usuários que poderão autenticar
    User naming attribute sAMAccountName
    Initial Template Microsoft AD

  4. Clique em Save.

Conectividade LDAP

Se usar o nome do domínio (ex.: citrait.corp), o OPNsense precisa resolver todos os DCs via DNS. Aponte o cliente DNS do firewall para os servidores DNS do Active Directory.

Testando a Autenticação

  1. Vá em System → Access → Tester.
  2. Escolha o servidor LDAP-PARA-VPN.
  3. Informe as credenciais de um usuário do AD (ex.: luciano).
  4. Clique em Test.
  5. Verifique a mensagem de autenticação (sucesso ou falha).

Autenticação validada

Após validar, o servidor LDAP já pode ser usado como método de autenticação em serviços como VPN, Captive Portal e WebGUI.

Restringindo por Grupo (Filtro LDAP)

Por padrão, todos os usuários do container selecionado podem autenticar. Para restringir a autenticação a um grupo específico (ex.: ACESSO_VPN), edite o servidor LDAP registrado anteriormente e preencha o campo Extended Query como no exemplo abaixo, indicando o CN do grupo de restrição: 

memberOf=CN=ACESSO_VPN,CN=Users,DC=citrait,DC=corp

Importante

Combine filtros LDAP para aumentar a segurança, por exemplo, permitindo apenas usuários ativos ou de OUs específicas.

Habilitando Sincronização de Usuários e Grupos

Essa etapa permite que os usuários e grupos do AD sejam sincronizados automaticamente com o OPNsense. Desta forma, você gerencia os usuários do AD diretamente no firewall como se fossem locais, entretanto suas senhas serão sempre validadas no servidor Active Directory.

  1. Vá em System → Access → Servers.
  2. Edite o servidor LDAP-PARA-VPN.

  3. Marque:

    • Read properties
    • Synchronize groups
    • Automatic user creation

  4. Clique em Save.

  5. Teste a autenticação novamente pelo menu System → Access →Tester.

Registro Automático dos Usuários

Os usuários só serão populados na tela System → Access → Users após realizarem algum login no firewall, seja na webgui ou na VPN. Caso precise adicionar alguma permissão imediatamente ao usuário, sem esperar que ele logue no firewall, crie um usuário local no firewall com o mesmo login existente no active directory. Quando o usuário fizer o acesso, o usuário do LDAP será mapeado para este usuário criado no firewall.

Sincronizando Grupos

  1. Crie no OPNsense um grupo com o mesmo nome do grupo do AD (ex.: ACESSO_VPN).
  2. Volte ao Tester e autentique novamente.
  3. O usuário deve aparecer com o grupo ACESSO_VPN associado.
  4. Faça o teste de revogação: remova o usuário do grupo no AD e tente autenticar novamente — o acesso deve ser negado.

Importante

A sincronização dos usuários dentro dos grupos no OPNsense funciona apenas quando o nome do grupo no OPNsense for idêntico ao do grupo no AD.

Integração com Serviços

Após a autenticação LDAP estar funcional, é possível utilizá-la em diversos serviços do OPNsense.

Serviço Descrição Controle por grupo
OpenVPN Autenticação de VPN usando credenciais do AD Sim
Captive Portal Acesso controlado à rede via login do domínio Sim
Web Proxy (Squid) Filtro de navegação com autenticação AD Sim
WebGUI Acesso administrativo com permissões por grupo Sim

Integração com MFA (Visão Geral)

A integração LDAP pode ser reforçada com MFA (Multi-Factor Authentication), adicionando uma camada extra de proteção.
Nas versões mais recentes do OPNsense é possível dar permissão para os usuários acessarem o firewall (WebGui) e gerarem o próprio QRCode para leitura no aplicativo autenticador.

Permissão para Gerar o Próprio Token

  1. Vá em System → Access → Groups.
  2. Crie um novo grupo chamado Self-Service-QRCode e atribua o privilégio Lobby: Password.
  3. Associe os usuários ao grupo Self-Service-QRCode.
  4. Vá em System → Access → Administration.
  5. No campo User OTP seed selecione o grupo Self-Service-QRCode.
  6. Salve.

Importante

Opcionalmente, ao invés de usar o grupo Self-Service-QRCode, você pode no campo User OTP seed selecionar diversos grupos como: Acesso_VPN_Colaboradores, Acesso_VPN_Parceiros, Admins.

Geração Manual do Token no OPNsense

  1. Vá em System → Access → Users.
  2. Edite o usuário desejado.
  3. No campo OTP seed, clique em Show.
  4. Clique na engrenagem (⚙) para gerar o QRCode.
  5. No celular do usuário, abra o aplicativo autenticador (Google Authenticator ou FreeOTP) e leia o QRCode.
  6. Clique em Save.

Geração do Token via Self-Service

  1. Autentique-se na WebGui do firewall com o login do usuário.
  2. Clique no botão Request new OTP seed e confirme que o antigo token (caso existente) será invalidado.
  3. Leia o QRCode com o aplicativo autenticador.
  4. Pronto! agora pode fechar o firewall e tentar acessar a VPN ou a administração do próprio firewall conforme a permissão recebida.

Importante

O MFA não é ativado automaticamente para a WebGui (administração); ele deve ser habilitado globalmente no OPNsense (ver próximo capítulo).

Considerações Importantes

  • Autenticação ≠ Autorização: a autenticação é feita no AD, mas as permissões são controladas localmente no OPNsense.
  • LDAP vs LDAPS: prefira LDAPS (porta 636) ou STARTTLS, pois o LDAP comum transmite credenciais em texto claro.
  • Conta de serviço: use uma conta dedicada (opnsense-ldap) com senha forte.
  • Extended Query: sempre defina filtros LDAP para limitar o escopo de autenticação.
  • Logs e auditoria: monitore os eventos em System → Log Files → Authentication.
  • DNS interno: o firewall deve resolver corretamente os DCs via DNS do AD.
  • Sincronização de grupos: grupos precisam existir tanto no AD quanto no OPNsense.
  • MFA: habilite obrigatoriamente o MFA para usuários críticos e oportunamente para usuários comuns.

Boas Práticas

  1. Princípio do menor privilégio: conceda acesso apenas a quem realmente precisa.
  2. Grupos dedicados: segmente o acesso em grupos específicos (ACESSO_VPN, FIREWALL_ADMINS, CAPTIVE_GUESTS).
  3. Validação antes de aplicar: use o Tester antes de ativar a autenticação de serviços em produção.
  4. Documentação: registre parâmetros do LDAP, filtros e grupos sincronizados.
  5. Senhas da conta de serviço: devem ser longas, complexas e armazenadas com segurança.
  6. Auditoria contínua: revise periodicamente os logs de autenticação e sincronização.
  7. MFA obrigatório: especialmente para acesso administrativo e VPN.
  8. Revisão de grupos: valide regularmente o ciclo de inclusão e revogação de usuários.

Casos de Uso

1. VPN Corporativa via Active Directory

Problema: múltiplas senhas para autenticação VPN geram confusão e suporte.
Solução: integrar OPNsense ao AD, restringindo o acesso ao grupo ACESSO_VPN.
Benefício: login unificado e compatível com MFA.

2. Captive Portal com Usuários do AD

Problema: visitantes e estagiários sem contas locais.
Solução: criar grupos CAPTIVE_GUESTS e ESTAGIARIOS no AD e replicar no OPNsense.
Benefício: autenticação controlada e integrada à política corporativa.

3. Administração Centralizada

Problema: múltiplos administradores precisando de acesso à WebGUI.
Solução: grupo FIREWALL_ADMINS no AD com permissões sincronizadas.
Benefício: rastreabilidade, auditoria e conformidade.

4. VPN para Parceiros Externos

Problema: acesso remoto de terceiros com permissões diferenciadas dos colaboradores.
Solução: grupos VPN_PARCEIROS e VPN_FUNCIONARIOS no AD sincronizados com o OPNsense.
Benefício: segregação e controle granular de acessos.

5. Integração com MFA

Problema: contas privilegiadas vulneráveis a ataques de força bruta.
Solução: habilitar MFA para grupos administrativos e VPN.
Benefício: camada adicional de segurança e conformidade com normas corporativas.

Conclusão

A integração do OPNsense com o Active Directory centraliza autenticação, reduz falhas administrativas e fortalece o controle de acesso. Combinada com grupos sincronizados e MFA, ela oferece uma base sólida para políticas de segurança consistentes, auditáveis e alinhadas ao ambiente corporativo.