In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Konfiguration der Captive Portal Authentication (Active Authentication) und Single-Sign-On (Passive Authentication).
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Captive Portal Authentication (Captive Portal) oder Active Authentication (Aktive Authentifizierung) fordert eine Anmeldeseite und Benutzeranmeldeinformationen auf, damit ein Host auf das Internet zugreifen kann.
Die Single-Sign-On- oder Passive-Authentifizierung ermöglicht eine nahtlose Authentifizierung von Benutzern für Netzwerkressourcen und Internetzugriff, ohne dass die Anmeldeinformationen der Benutzer mehrfach eingegeben werden müssen. Die Single-Sign-On-Authentifizierung kann entweder über den FirePOWER User Agent oder die NTLM Browser-Authentifizierung erfolgen.
Hinweis: Für die Captive Portal-Authentifizierung muss sich die Appliance im Routing-Modus befinden.
In diesem Artikel wird erläutert, wie Sie den FirePOWER User Agent in einem Windows-Computer konfigurieren:
Installation und Deinstallation von Sourcefire User Agent
Melden Sie sich beim FirePOWER Management Center an, navigieren Sie zu System > Integration > Identity Sources. Klicken Sie auf die Option Neuer Agent. Konfigurieren Sie die IP-Adresse des User Agent-Systems, und klicken Sie auf die Schaltfläche Hinzufügen.
Klicken Sie auf die Schaltfläche Speichern, um die Änderungen zu speichern.
Melden Sie sich beim FMC an, navigieren Sie zu System > Integration > Realm (System > Integration > Bereich). Klicken Sie auf die Option Neuen Bereich hinzufügen.
Name und Beschreibung: Geben Sie einen Namen/eine Beschreibung für die eindeutige Identifizierung des Bereichs.
Typ: AD
AD Primary Domain: Domänenname von Active Directory
Verzeichnisbenutzername: <Benutzername>
Verzeichniskennwort: <Kennwort>
Basis-DN: Domäne oder spezifischer OU-DN, von dem aus das System eine Suche in der LDAP-Datenbank startet.
Gruppen-DN: Gruppen-DN
Gruppenattribut: Member
Dieser Artikel hilft Ihnen, die Werte für Basis-DN und Gruppen-DN zu ermitteln.
Identifizieren von Active Directory-LDAP-Objektattributen
Klicken Sie auf die Schaltfläche Hinzufügen, um zum nächsten Schritt zu navigieren, und klicken Sie anschließend auf die Option Verzeichnis hinzufügen.
Hostname/IP-Adresse: Konfigurieren Sie die IP-Adresse/den Hostnamen des AD-Servers.
Port: 389 (Active Directory-LDAP-Portnummer )
Verschlüsselung/SSL-Zertifikat: (optional) Informationen zur Verschlüsselung der Verbindung zwischen FMC- und AD-Server finden Sie im
Klicken Sie auf die Schaltfläche Test, um zu überprüfen, ob FMC eine Verbindung zum AD-Server herstellen kann.
Navigieren Sie zu Realm Configuration (Bereichskonfiguration), um die Integrationskonfiguration des AD-Servers zu überprüfen, und Sie können die AD-Konfiguration ändern.
Navigieren Sie zur Option User Download (Benutzerdownload), um die Benutzerdatenbank vom AD-Server abzurufen.
Aktivieren Sie das Kontrollkästchen zum Herunterladen von Benutzern und Gruppen herunterladen und definieren Sie das Zeitintervall darüber, wie häufig FMC Kontakte AD zum Herunterladen von Benutzerdatenbank führt.
Wählen Sie die Gruppe aus, und fügen Sie sie in die Include-Option ein, für die Sie die Authentifizierung konfigurieren möchten.
Aktivieren Sie, wie im Bild gezeigt, den AD-Status:
Eine Identitätsrichtlinie führt die Benutzerauthentifizierung durch. Wenn sich der Benutzer nicht authentifiziert, wird der Zugriff auf Netzwerkressourcen verweigert. Dadurch wird eine rollenbasierte Zugriffskontrolle (RBAC) für das Netzwerk und die Ressourcen Ihres Unternehmens erzwungen.
Bei der aktiven Authentifizierung wird der Benutzername/das Kennwort für den Browser angefordert, um eine Benutzeridentität zu identifizieren, um eine Verbindung zuzulassen. Der Browser authentifiziert Benutzer entweder durch Anzeige der Authentifizierungsseite oder authentifiziert sich stumm durch NTLM-Authentifizierung. NTLM verwendet den Webbrowser, um Authentifizierungsinformationen zu senden und zu empfangen. Die aktive Authentifizierung verwendet verschiedene Typen, um die Identität des Benutzers zu überprüfen. Folgende Authentifizierungstypen sind verfügbar:
Jeder Browser verfügt über eine spezielle Methode, um die NTLM-Authentifizierung zu aktivieren. Daher befolgen sie die Browserrichtlinien, um die NTLM-Authentifizierung zu aktivieren.
Um die Anmeldeinformationen sicher für den gerouteten Sensor freizugeben, müssen Sie entweder ein selbstsigniertes Serverzertifikat oder ein öffentlich signiertes Serverzertifikat in der Identitätsrichtlinie installieren.
Generate a simple self-signed certificate using openSSL - Step 1. Generate the Private key openssl genrsa -des3 -out server.key 2048 Step 2. Generate Certificate Signing Request (CSR) openssl req -new -key server.key -out server.csr Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
Navigieren Sie zu Richtlinien > Zugriffskontrolle > Identität. Klicken Sie auf Richtlinie hinzufügen und geben Sie einen Namen für die Richtlinie ein, und speichern Sie diese.
Navigieren Sie zur Registerkarte Aktive Authentifizierung und in der Option Serverzertifikat, klicken Sie auf das Symbol (+) und laden Sie den im vorherigen Schritt mithilfe von openSSL erstellten Zertifikat und privaten Schlüssel hoch.
Klicken Sie jetzt auf die Schaltfläche Regel hinzufügen, und geben Sie der Regel einen Namen, und wählen Sie die Aktion als aktive Authentifizierung aus. Definieren Sie die Quell-/Zielzone, das Quell-/Zielnetzwerk, für das Sie die Benutzerauthentifizierung aktivieren möchten.
Wählen Sie den Bereich aus, den Sie im vorherigen Schritt konfiguriert haben, und den Authentifizierungstyp, der Ihrer Umgebung am besten entspricht.
ASA-Konfiguration für Captive Portal
Konfigurieren Sie für das ASA FirePOWER-Modul diese Befehle auf der ASA, um das Captive Portal zu konfigurieren.
ASA(config)# captive-portal global port 1055
Stellen Sie sicher, dass der Server-Port TCP 1055 in der Port-Option der Registerkarte "Active Authentication" (Aktive Authentifizierung) der Identitätsrichtlinie konfiguriert ist.
Führen Sie den folgenden Befehl aus, um die aktiven Regeln und deren Trefferanzahl zu überprüfen.
ASA# show asp table classify domain captive-portal
Hinweis: Der Captive Portal-Befehl ist in der ASA-Version 9.5(2) und höher verfügbar.
Wenn sich ein Domänenbenutzer bei der passiven Authentifizierung anmeldet und das AD authentifizieren kann, fragt der FirePOWER User Agent die Benutzer-IP-Zuordnungsdetails aus den Sicherheitsprotokollen von AD ab und gibt diese Informationen an das FirePOWER Management Center (FMC) weiter. FMC sendet diese Informationen an den Sensor, um die Zugriffskontrolle durchzusetzen.
Klicken Sie auf die Schaltfläche Regel hinzufügen, geben Sie der Regel einen Namen, und wählen Sie die Aktion als passive Authentifizierung aus. Definieren Sie die Quell-/Zielzone, das Quell-/Zielnetzwerk, für das Sie die Benutzerauthentifizierung aktivieren möchten.
Wählen Sie den Bereich, den Sie im vorherigen Schritt konfiguriert haben, und den Authentifizierungstyp aus, der am besten für Ihre Umgebung geeignet ist, wie in diesem Bild gezeigt.
Hier können Sie die Fallback-Methode als aktive Authentifizierung auswählen, wenn die Benutzeridentität durch passive Authentifizierung nicht identifiziert werden kann.
Navigieren Sie zu Richtlinien > Zugriffskontrolle > Richtlinie erstellen/bearbeiten.
Klicken Sie auf die Identitätsrichtlinie (in der linken oberen Ecke), wählen Sie die Identitätsrichtlinie aus, die Sie im vorherigen Schritt konfiguriert haben, und klicken Sie auf die OK-Schaltfläche, wie in diesem Bild gezeigt.
Klicken Sie auf die Schaltfläche Regel hinzufügen, um eine neue Regel hinzuzufügen, navigieren Sie zu Benutzern und wählen Sie die Benutzer aus, für die die Zugriffskontrollregel durchgesetzt wird, wie in diesem Bild gezeigt. Klicken Sie auf die Schaltfläche OK, und klicken Sie auf Speichern, um die Änderungen zu speichern.
Navigieren Sie zur Option Deploy, wählen Sie das Gerät aus, und klicken Sie auf die Option Deploy, um die Konfigurationsänderung auf den Sensor zu übertragen. Überwachen Sie die Bereitstellung von Richtlinien über das Nachrichtencenter-Symbol (Symbol zwischen Bereitstellung und Systemoption), und stellen Sie sicher, dass die Richtlinie erfolgreich angewendet werden muss, wie in diesem Bild gezeigt.
Derzeit aktive Benutzersitzungen sind im Abschnitt Analyse > Benutzer > Benutzer verfügbar.
Die Überwachung der Benutzeraktivität hilft dabei herauszufinden, welchen Benutzer welche IP-Adresse zugeordnet hat und wie der Benutzer durch aktive oder passive Authentifizierung vom System erkannt wird. Analyse > Benutzer > Benutzeraktivität
Navigieren Sie zu Analyse > Verbindungen > Ereignisse, um die Art des vom Benutzer verwendeten Datenverkehrs zu überwachen.
Navigieren Sie zu Analyse > Benutzer, um die Benutzerauthentifizierungs-/Authentifizierungstyp-/Benutzer-IP-Zuordnungs-/Zugriffsregel zu überprüfen, die dem Datenverkehrsfluss zugeordnet ist.
FirePOWER Management Center (FMC) verwendet den TCP-Port 3306, um Protokolldaten von Benutzern vom Benutzer-Agent zu empfangen.
Verwenden Sie diesen Befehl im FMC, um den FMC-Dienststatus zu überprüfen.
admin@firepower:~$ netstat -tan | grep 3306
Führen Sie die Paketerfassung auf dem FMC aus, um die Verbindung mit dem Benutzer-Agent zu überprüfen.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
Navigieren Sie zu Analyse > Users > User Activity, um zu überprüfen, ob das FMC Benutzeranmeldeinformationen vom Benutzer-Agent empfängt.
FMC verwendet TCP-Port 389, um die Benutzerdatenbank aus der Active Directory.
Führen Sie die Paketerfassung auf dem FMC aus, um die Verbindung mit dem Active Directory zu überprüfen.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
Stellen Sie sicher, dass die in der FMC Realm-Konfiguration verwendeten Anmeldeinformationen über ausreichende Berechtigungen zum Abrufen der Benutzerdatenbank des AD verfügen.
Überprüfen Sie die FMC-Realm-Konfiguration, und stellen Sie sicher, dass die Benutzer/Gruppen heruntergeladen und das Timeout für Benutzersitzungen korrekt konfiguriert werden.
Navigieren Sie zu Nachrichtencenter > Aufgaben, und stellen Sie sicher, dass der Download von Task-Benutzern/Gruppen erfolgreich abgeschlossen wurde, wie in diesem Bild gezeigt.
Für die aktive Authentifizierung stellen Sie sicher, dass das Zertifikat und der Port in der FMC-Identitätsrichtlinie korrekt konfiguriert sind. Standardmäßig überwacht der FirePOWER-Sensor den TCP-Port 885 für die aktive Authentifizierung.
Stellen Sie sicher, dass die Felder Bereich, Authentifizierungstyp, Benutzeragent und Aktion in der Identitätsrichtlinie korrekt konfiguriert sind.
Stellen Sie sicher, dass die Identitätsrichtlinie der Zugriffskontrollrichtlinie korrekt zugeordnet ist.
Navigieren Sie zu Nachrichtencenter > Aufgaben, und stellen Sie sicher, dass die Richtlinienbereitstellung erfolgreich abgeschlossen wurde.
Die Verbindung und die Benutzeraktivitätsereignisse können verwendet werden, um zu ermitteln, ob die Benutzeranmeldung erfolgreich war oder nicht.Diese Ereignisse
kann auch überprüfen, welche Zugriffskontrollregel auf den Fluss angewendet wird.
Navigieren Sie zu Analyse > Benutzer, um die Benutzerereignisprotokolle zu überprüfen.
Navigieren Sie zu Analyse > Connection Events, um die Verbindungsereignisse zu überprüfen.