Authentik osaajia paikalla? (Authentik [LDAP] + pfSense, ei suostu toimimaan)

[SamCer]

Eli yritän pystyttää keskitettyä käyttäjienhallintaa käyttäen Authentikiä.

Authentik on asennettu näillä ohjeilla dockeriin. Portit on HTTP (1180) ja HTTPS (11443).

Oon yrittänyt ensimmäisenä saada sitä toimimaan pfSensen kanssa, näitä ohjeita seuraamalla ja tuloksena pfSense ilmoittaa:

Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Attempting to authenticate testi on LDAP authentik
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: URI: ldap://kone.doma.in:389 (v3)
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Base DN: DC=ldap,DC=goauthentik,DC=io
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Scope: one
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Auth Bind DN: cn=pfsense-user,ou=users,dc=ldap,dc=goauthentik,dc=io
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Container: OU=users,DC=ldap,DC=goauthentik,DC=io
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Attrs: Name: cn / Group: memberOf
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Extended Query:
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Filter: (cn=testi)
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: Group Filter:
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: LDAP Debug: LDAP connection error flag: false
Mar 12 15:05:16     php-fpm     363     /diag_authentication.php: ERROR! Could not bind to LDAP server LDAP authentik. Please check the bind credentials.

Nuo "Bind credentialsit" on varmistettu, että ovat oikein.

Ohjeesta skippasit seuraavat kohdat, jotka käsittelevät salattua yhteyttä pfsensen ja authentikin välillä:

• pfSense secure setup (with SSL)
  • Step 1 - Certificate Authority
  • Step 2 - Server Certificate
  • Step 3 - Certificate import
  • Step 4 - Provider configuration
  • Step 5 - pfSense authentication server

Ohjeista puuttui mitä valita ohjeen kohdassa "Step 2 - LDAP Provider" kohtaan "Bind flow" ja jonka Authentik vaatii, että pääse eteenpäin, niin valitsin kahdesta vakio vaihtoehdosta "default-authentication-flow".

Ohjeiden lisäksi olen luonut Authentikiin ryhmän "users" ja sinne käyttäjän "testi", jota vasten siis yritän tuota pfSensen Diagnostics -> Authentication -testiä. Sieltä on tietenkin valittuna Authentikin LDAP-servu, mutta testi siis epäonnistuu ylläolevalla koodi-tägien sisältävällä tuloksella.

Mitenköhän tuo Authentik julkaisee noita palvelujaan kun olen yrittänyt nmap:lla skannata Docker-isännän -, sekä Dockerin itsensä luomia virtuaalisovittimien IP-osoitteista avoimia portteja, niin tuota LDAP:in käyttämää porttia 389 ei löydy mistään...

 

[SamCer]

No niin homma selvisi. Viimeinkin !

Eli ongelmana oli, että Authentik ei osannut tuon viestin aikana luoda automaattisesti "Outpost integraatiota"(System/Outpost Integrations) ja tilanteen olisin varmaan saanut selvitettyä luomalla sellaisen itse.

Yhdessä testissä, jossa asensin myös Nginx Proxy Managerin Dockeriin ja loin sinne Proxy Hostin Authentikille, niin Authentik loi itse automaattisesti sen integraation Dockeriin. Nyt kun kokeilin uudestaan vastaavaa, niin se ei tullut automaattisesti, vaan piti luoda itse... Outoa...

Sen jälkeen tuli ongelmaksi kun servussa oli Mullvad päällä ja sen DNS käytössä, niin Authentik, sekä seruvssa suoritettu ldapsearch resolvasi servun FQDN:n ulkoverkon IP-osoitteeseen, eikä sisäverkkoon. Vaikka tuon ldapsearchin yritti osoittaa suoraan IP:llä servuun, niin se epäonnistui tuon takia kun Authentikin luoma LDAP-kontti yritti julkaista palvelujaan ulkoiseen IP-osoitteeseen.

Mullvad pois päältä ja varmistus, että käytössä on sisäverkon DNS-servu, niin LDAP-kontti heräsi henkiin ja alkoi yhteys toimia ldapsearchilla, sekä pfSensellä (aikaisemmassa viestissä annetun linkin ohjeiden mukaisilla ohjeilla luotu LDAP-yhteys Authentikiin).

Ahh... Joo tuosta seuraamastani ohjeesta puuttui myös miten pfSense tietää minkälaiset oikeudet millekin käyttäjälle/ryhmälle annetaan. Se selvisi pfSensen dokumentaatiosta, eli oikeudet määritellään pfSensen päässä ryhmäkohtaisesti. Esimerkiksi, jos haluaa luoda pfSensen oletus admin tasoiset oikeudet omaavan ryhmän:

1. Luo Authetikiin/LDAPiin ryhmä esim. pfsense-admins
2. Luo käyttäjä Authetikiin/LDAPiin käyttäjä esim. järjestelmänvalvoja ja liittä se ryhmään pfsense-admins, sekä muista antaa sille salasana
3. Luo pfSenseen samanniminen ryhmä kuin Authentik/LDAPiin:

Group name: pfsense-admins
Scope: Local
Description: (vapaavalintainen kuvaus ryhmästä)
Group membership: (ei tarvitse koskea)
Assigned Privileges: WebCfg - All pages

Nyt mikäli pfSensessä on User Managerin Settingseistä valittuna Authentik/LDAP-servu, niin voi kirjautua ulos pfSensestä ja kirjautua sisään jäjestelmänvalvoja tunnuksella ja salasanalla

[EDIT] Tästä unohtui varmasti mainita jotain sellaista mitä jouduin muuttamaan, tai jotain mitä ei ohjeissa sanottu, vaan piti etsiä muualta...