Konfigurieren der Active Directory-Integration mit der FirePOWER-Appliance für die Single-Sign-On- und Captive Portal-Authentifizierung
Inhalt
Einführung
Dieses Dokument beschreibt die Konfiguration der Captive Portal Authentication (Active Authentication) und Single-Sign-On (Passive Authentication).
Voraussetzungen
Anforderungen
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
- Sourcefire FirePOWER-Geräte
- Virtuelle Gerätemodelle
- Light Weight Directory Service (LDAP)
- FirePOWER UserAgent
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
- FirePOWER Management Center (FMC) Version 6.0.0 und höher
- Firepower Sensor Version 6.0.0 und höher
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
Captive Portal Authentication (Captive Portal) oder Active Authentication (Aktive Authentifizierung) fordert eine Anmeldeseite und Benutzeranmeldeinformationen auf, damit ein Host auf das Internet zugreifen kann.
Die Single-Sign-On- oder Passive-Authentifizierung ermöglicht eine nahtlose Authentifizierung von Benutzern für Netzwerkressourcen und Internetzugriff, ohne dass die Anmeldeinformationen der Benutzer mehrfach eingegeben werden müssen. Die Single-Sign-On-Authentifizierung kann entweder über den FirePOWER User Agent oder die NTLM Browser-Authentifizierung erfolgen.
Konfigurieren
Schritt 1: Konfigurieren Sie den FirePOWER-Benutzer-Agent für einmalige Anmeldung.
In diesem Artikel wird erläutert, wie Sie den FirePOWER User Agent in einem Windows-Computer konfigurieren:
Installation und Deinstallation von Sourcefire User Agent
Schritt 2: Integration von FirePOWER Management Center (FMC) mit User Agent
Melden Sie sich beim FirePOWER Management Center an, navigieren Sie zu System > Integration > Identity Sources. Klicken Sie auf die Option Neuer Agent. Konfigurieren Sie die IP-Adresse des User Agent-Systems, und klicken Sie auf die Schaltfläche Hinzufügen.
Klicken Sie auf die Schaltfläche Speichern, um die Änderungen zu speichern.
Schritt 3: Integration von Firepower in Active Directory
Schritt 3.1 - Erstellen des Bereichs
Melden Sie sich beim FMC an, navigieren Sie zu System > Integration > Realm (System > Integration > Bereich). Klicken Sie auf die Option Neuen Bereich hinzufügen.
Name und Beschreibung: Geben Sie einen Namen/eine Beschreibung für die eindeutige Identifizierung des Bereichs.
Typ: AD
AD Primary Domain: Domänenname von Active Directory
Verzeichnisbenutzername: <Benutzername>
Verzeichniskennwort: <Kennwort>
Basis-DN: Domäne oder spezifischer OU-DN, von dem aus das System eine Suche in der LDAP-Datenbank startet.
Gruppen-DN: Gruppen-DN
Gruppenattribut: Member
Dieser Artikel hilft Ihnen, die Werte für Basis-DN und Gruppen-DN zu ermitteln.
Identifizieren von Active Directory-LDAP-Objektattributen
Schritt 3.2 Hinzufügen des Verzeichnisservers
Klicken Sie auf die Schaltfläche Hinzufügen, um zum nächsten Schritt zu navigieren, und klicken Sie anschließend auf die Option Verzeichnis hinzufügen.
Hostname/IP-Adresse: Konfigurieren Sie die IP-Adresse/den Hostnamen des AD-Servers.
Port: 389 (Active Directory-LDAP-Portnummer )
Verschlüsselung/SSL-Zertifikat: (optional) Informationen zur Verschlüsselung der Verbindung zwischen FMC- und AD-Server finden Sie im
Klicken Sie auf die Schaltfläche Test, um zu überprüfen, ob FMC eine Verbindung zum AD-Server herstellen kann.
Schritt 3.3 Ändern der Bereichskonfiguration
Navigieren Sie zu Realm Configuration (Bereichskonfiguration), um die Integrationskonfiguration des AD-Servers zu überprüfen, und Sie können die AD-Konfiguration ändern.
Schritt 3.4 Benutzerdatenbank herunterladen
Navigieren Sie zur Option User Download (Benutzerdownload), um die Benutzerdatenbank vom AD-Server abzurufen.
Aktivieren Sie das Kontrollkästchen zum Herunterladen von Benutzern und Gruppen herunterladen und definieren Sie das Zeitintervall darüber, wie häufig FMC Kontakte AD zum Herunterladen von Benutzerdatenbank führt.
Wählen Sie die Gruppe aus, und fügen Sie sie in die Include-Option ein, für die Sie die Authentifizierung konfigurieren möchten.
Aktivieren Sie, wie im Bild gezeigt, den AD-Status:
Schritt 4: Konfigurieren der Identitätsrichtlinie
Eine Identitätsrichtlinie führt die Benutzerauthentifizierung durch. Wenn sich der Benutzer nicht authentifiziert, wird der Zugriff auf Netzwerkressourcen verweigert. Dadurch wird eine rollenbasierte Zugriffskontrolle (RBAC) für das Netzwerk und die Ressourcen Ihres Unternehmens erzwungen.
Schritt 4.1 Captive Portal (aktive Authentifizierung)
Bei der aktiven Authentifizierung wird der Benutzername/das Kennwort für den Browser angefordert, um eine Benutzeridentität zu identifizieren, um eine Verbindung zuzulassen. Der Browser authentifiziert Benutzer entweder durch Anzeige der Authentifizierungsseite oder authentifiziert sich stumm durch NTLM-Authentifizierung. NTLM verwendet den Webbrowser, um Authentifizierungsinformationen zu senden und zu empfangen. Die aktive Authentifizierung verwendet verschiedene Typen, um die Identität des Benutzers zu überprüfen. Folgende Authentifizierungstypen sind verfügbar:
- HTTP Basic: Bei dieser Methode fordert der Browser zur Eingabe von Benutzeranmeldeinformationen auf.
- NTLM: NTLM verwendet Windows-Workstation-Anmeldeinformationen und handelt sie mithilfe eines Webbrowsers über Active Directory aus. Sie müssen die NTLM-Authentifizierung im Browser aktivieren. Die Benutzerauthentifizierung erfolgt transparent, ohne dass Sie zur Eingabe von Anmeldeinformationen aufgefordert werden. Es bietet eine einmalige Anmeldung für Benutzer.
- HTTP Negotiate (HTTP-Aushandlung): In diesem Typ versucht das System, sich mithilfe von NTLM zu authentifizieren. Wenn dies fehlschlägt, verwendet der Sensor den HTTP Basic-Authentifizierungstyp als Fallbackmethode und fordert ein Dialogfeld für Benutzeranmeldeinformationen auf.
- HTTP-Antwortseite: Dies ähnelt dem grundlegenden HTTP-Typ. Hier wird der Benutzer jedoch aufgefordert, die Authentifizierung in einem HTML-Formular auszufüllen, das angepasst werden kann.
Jeder Browser verfügt über eine spezielle Methode, um die NTLM-Authentifizierung zu aktivieren. Daher befolgen sie die Browserrichtlinien, um die NTLM-Authentifizierung zu aktivieren.
Um die Anmeldeinformationen sicher für den gerouteten Sensor freizugeben, müssen Sie entweder ein selbstsigniertes Serverzertifikat oder ein öffentlich signiertes Serverzertifikat in der Identitätsrichtlinie installieren.
Generate a simple self-signed certificate using openSSL -
Step 1. Generate the Private key
openssl genrsa -des3 -out server.key 2048
Step 2. Generate Certificate Signing Request (CSR)
openssl req -new -key server.key -out server.csr
Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
Navigieren Sie zu Richtlinien > Zugriffskontrolle > Identität. Klicken Sie auf Richtlinie hinzufügen und geben Sie einen Namen für die Richtlinie ein, und speichern Sie diese.
Navigieren Sie zur Registerkarte Aktive Authentifizierung und in der Option Serverzertifikat, klicken Sie auf das Symbol (+) und laden Sie den im vorherigen Schritt mithilfe von openSSL erstellten Zertifikat und privaten Schlüssel hoch.
Klicken Sie jetzt auf die Schaltfläche Regel hinzufügen, und geben Sie der Regel einen Namen, und wählen Sie die Aktion als aktive Authentifizierung aus. Definieren Sie die Quell-/Zielzone, das Quell-/Zielnetzwerk, für das Sie die Benutzerauthentifizierung aktivieren möchten.
Wählen Sie den Bereich aus, den Sie im vorherigen Schritt konfiguriert haben, und den Authentifizierungstyp, der Ihrer Umgebung am besten entspricht.
ASA-Konfiguration für Captive Portal
Konfigurieren Sie für das ASA FirePOWER-Modul diese Befehle auf der ASA, um das Captive Portal zu konfigurieren.
ASA(config)# captive-portal global port 1055
Stellen Sie sicher, dass der Server-Port TCP 1055 in der Port-Option der Registerkarte "Active Authentication" (Aktive Authentifizierung) der Identitätsrichtlinie konfiguriert ist.
Führen Sie den folgenden Befehl aus, um die aktiven Regeln und deren Trefferanzahl zu überprüfen.
ASA# show asp table classify domain captive-portal
Schritt 4.2 Einmalige Anmeldung (passive Authentifizierung)
Wenn sich ein Domänenbenutzer bei der passiven Authentifizierung anmeldet und das AD authentifizieren kann, fragt der FirePOWER User Agent die Benutzer-IP-Zuordnungsdetails aus den Sicherheitsprotokollen von AD ab und gibt diese Informationen an das FirePOWER Management Center (FMC) weiter. FMC sendet diese Informationen an den Sensor, um die Zugriffskontrolle durchzusetzen.
Klicken Sie auf die Schaltfläche Regel hinzufügen, geben Sie der Regel einen Namen, und wählen Sie die Aktion als passive Authentifizierung aus. Definieren Sie die Quell-/Zielzone, das Quell-/Zielnetzwerk, für das Sie die Benutzerauthentifizierung aktivieren möchten.
Wählen Sie den Bereich, den Sie im vorherigen Schritt konfiguriert haben, und den Authentifizierungstyp aus, der am besten für Ihre Umgebung geeignet ist, wie in diesem Bild gezeigt.
Hier können Sie die Fallback-Methode als aktive Authentifizierung auswählen, wenn die Benutzeridentität durch passive Authentifizierung nicht identifiziert werden kann.
Schritt 5: Konfigurieren der Zugriffskontrollrichtlinie
Navigieren Sie zu Richtlinien > Zugriffskontrolle > Richtlinie erstellen/bearbeiten.
Klicken Sie auf die Identitätsrichtlinie (in der linken oberen Ecke), wählen Sie die Identitätsrichtlinie aus, die Sie im vorherigen Schritt konfiguriert haben, und klicken Sie auf die OK-Schaltfläche, wie in diesem Bild gezeigt.
Klicken Sie auf die Schaltfläche Regel hinzufügen, um eine neue Regel hinzuzufügen, navigieren Sie zu Benutzern und wählen Sie die Benutzer aus, für die die Zugriffskontrollregel durchgesetzt wird, wie in diesem Bild gezeigt. Klicken Sie auf die Schaltfläche OK, und klicken Sie auf Speichern, um die Änderungen zu speichern.
Schritt 6: Bereitstellung der Zugriffskontrollrichtlinie
Navigieren Sie zur Option Deploy, wählen Sie das Gerät aus, und klicken Sie auf die Option Deploy, um die Konfigurationsänderung auf den Sensor zu übertragen. Überwachen Sie die Bereitstellung von Richtlinien über das Nachrichtencenter-Symbol (Symbol zwischen Bereitstellung und Systemoption), und stellen Sie sicher, dass die Richtlinie erfolgreich angewendet werden muss, wie in diesem Bild gezeigt.
Schritt 7: Überwachen von Benutzerereignissen und Verbindungsereignissen
Derzeit aktive Benutzersitzungen sind im Abschnitt Analyse > Benutzer > Benutzer verfügbar.
Die Überwachung der Benutzeraktivität hilft dabei herauszufinden, welchen Benutzer welche IP-Adresse zugeordnet hat und wie der Benutzer durch aktive oder passive Authentifizierung vom System erkannt wird. Analyse > Benutzer > Benutzeraktivität
Navigieren Sie zu Analyse > Verbindungen > Ereignisse, um die Art des vom Benutzer verwendeten Datenverkehrs zu überwachen.
Überprüfung und Fehlerbehebung
Navigieren Sie zu Analyse > Benutzer, um die Benutzerauthentifizierungs-/Authentifizierungstyp-/Benutzer-IP-Zuordnungs-/Zugriffsregel zu überprüfen, die dem Datenverkehrsfluss zugeordnet ist.
Überprüfen der Verbindung zwischen FMC und Benutzer-Agent (passive Authentifizierung)
FirePOWER Management Center (FMC) verwendet den TCP-Port 3306, um Protokolldaten von Benutzern vom Benutzer-Agent zu empfangen.
Verwenden Sie diesen Befehl im FMC, um den FMC-Dienststatus zu überprüfen.
admin@firepower:~$ netstat -tan | grep 3306
Führen Sie die Paketerfassung auf dem FMC aus, um die Verbindung mit dem Benutzer-Agent zu überprüfen.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
Navigieren Sie zu Analyse > Users > User Activity, um zu überprüfen, ob das FMC Benutzeranmeldeinformationen vom Benutzer-Agent empfängt.
Überprüfen der Verbindung zwischen FMC und Active Directory
FMC verwendet TCP-Port 389, um die Benutzerdatenbank aus der Active Directory.
Führen Sie die Paketerfassung auf dem FMC aus, um die Verbindung mit dem Active Directory zu überprüfen.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
Stellen Sie sicher, dass die in der FMC Realm-Konfiguration verwendeten Anmeldeinformationen über ausreichende Berechtigungen zum Abrufen der Benutzerdatenbank des AD verfügen.
Überprüfen Sie die FMC-Realm-Konfiguration, und stellen Sie sicher, dass die Benutzer/Gruppen heruntergeladen und das Timeout für Benutzersitzungen korrekt konfiguriert werden.
Navigieren Sie zu Nachrichtencenter > Aufgaben, und stellen Sie sicher, dass der Download von Task-Benutzern/Gruppen erfolgreich abgeschlossen wurde, wie in diesem Bild gezeigt.
Überprüfen der Verbindung zwischen dem FirePOWER-Sensor und dem Endsystem (aktive Authentifizierung)
Für die aktive Authentifizierung stellen Sie sicher, dass das Zertifikat und der Port in der FMC-Identitätsrichtlinie korrekt konfiguriert sind. Standardmäßig überwacht der FirePOWER-Sensor den TCP-Port 885 für die aktive Authentifizierung.
Überprüfen der Richtlinienkonfiguration und Richtlinienbereitstellung
Stellen Sie sicher, dass die Felder Bereich, Authentifizierungstyp, Benutzeragent und Aktion in der Identitätsrichtlinie korrekt konfiguriert sind.
Stellen Sie sicher, dass die Identitätsrichtlinie der Zugriffskontrollrichtlinie korrekt zugeordnet ist.
Navigieren Sie zu Nachrichtencenter > Aufgaben, und stellen Sie sicher, dass die Richtlinienbereitstellung erfolgreich abgeschlossen wurde.
Analysieren der Ereignisprotokolle
Die Verbindung und die Benutzeraktivitätsereignisse können verwendet werden, um zu ermitteln, ob die Benutzeranmeldung erfolgreich war oder nicht.Diese Ereignisse
kann auch überprüfen, welche Zugriffskontrollregel auf den Fluss angewendet wird.
Navigieren Sie zu Analyse > Benutzer, um die Benutzerereignisprotokolle zu überprüfen.
Navigieren Sie zu Analyse > Connection Events, um die Verbindungsereignisse zu überprüfen.
Zugehörige Informationen
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)