Editando PfSense (seção)

== Autenticação em dois fatores ==

Procedimento de instalação de autenticação em dois fatores no pfSense

=== Instala o FreeRADIUS ===

Acesse no menu superior na Dashboard do Firewall Sistema > Gerenciador de Pacotes
(System > Package Manager). faça uma busca por "freeradius". Instale o pacote correspondente ao
serviço.

=== Configuração ===

No mesmo menu do passo 1, acesse '''Serviços > FreeRADIUS (Services > FreeRADIUS)'''. 

Na página que abrirá, inicie clicando em '''"Configurações"''' (Settings). 

Aqui, você deverá habilitar o suporte para '''Mobile One-Time-Password (OTP)'''. 

Deixe todos os outros valores como padrão e salve.

=== Criar a Listener Port ===

Nesse ponto, clicamos em "interface" e no botão verde para criar uma nova interface para o FreeRADIUS. Nessa parte, nao é necessário nenhuma alteração. Somente recomendamos inserir uma descrição para a interface. e clique em salvar.

=== Criando o client ===

Em '''“NAS/Clientes”''' e clique em Add. Você só precisa preencher a parte superior do formulário e clicar em Salvar. Atribua uma chave do '''“Segredo compartilhado do cliente”''' (“Client Shared Secret”) inserido aqui. Não esqueça desta informação pois ela será necessária mais adiante.

=== Criando o usuário ===

Aqui, devemos criar dois usuários: Um no FreeRADIUS para a autenticação em si e outro no pfSense (User manager) por motivos de permissão. Ambos deverão ser iguais.

No FreeRADIUS, clique em "User" e adicione um usuario clicando no botão verde (Add).

Parâmetros:

- '''Username''': atribua o seu usuario 

- '''Password''': Não atribua nenhuma senha aqui nesse espaço.

- '''Password Encryption''': Cleartext-Password.

- '''One-Time Password Configuration''': habilite-o clicando no checkbox.

- '''OTP Auth Method''': Google-Authenticator.

- '''Init-Secret''': Clique em "Generate OTP Secret" para gerar o Segredo OTP.

- '''PIN''': Atribua um PIN simples (4 a 6 caracteres - preferencialmente números).

- '''QR Code''': Clique no botão azul "Generate QR Code" e ele mostrará o qrcode que deverá ser scaneado pelo aplicativo do Google authentication no dispositivo. Esse processo adicionará o pfSense no app e iniciará a rotina de criação de senhas aleatórias com um tempo definido.

Clique em salvar, no fim da página.

Acesse '''Sistema > Usuarios (System > User manager)''' e crie um novo usuario local no Firewall (com a mesma denominação do usuario FreeRADIUS). Lembre-se de adicioná-lo no grupo de '''"admins"'''.

=== Servidor de Autenticação ===

Ainda em '''Sistema > Usuarios (System > User manager)''' clique em '''"Authentication Servers"''' para setar o FreeRADIUS como servidor de autenticação padrão no seu pfSense, você deverá clicar no botão '''"Add"'''.

Parâmetros:

- '''Descriptive name:''' Crie um nome para o seu Servidor de Autenticação

- '''Type''': RADIUS

- '''Protocol''': PAP

- '''Hostname or IP address''': IP do Pfsense

- '''Shared Secret''': “Segredo compartilhado do cliente” criado no passo 4.

- '''Services offered''': Authentication and Accounting

As demais configurações ficam como padrão. Clique em '''"Save"'''.

=== Testando o FreeRADIUS ===

Antes de configurar um serviço para autenticação no FreeRADIUS, é uma boa ideia testá-lo primeiro. Você pode testar sua configuração navegando até Diagnóstico > Autenticação (Diagnostics > Authentication) e escolhendo FreeRADIUS como servidor de autenticação.
Digite seu nome de usuário que foi criado anteriormente, e no campo de senha digite o PIN de 4 dígitos (exemplo: 2545) junto com o código de 6 dígitos do Google Authenticator (exemplo:693 953), tornando todo o campo de senha para ser “2545693953” e clique em Testar. Se tudo correr bem, você deverá ver a faixa verde indicando sucesso.