Konfigurieren der Active Directory-Integration mit der FirePOWER-Appliance für die Single-Sign-On- und Captive Portal-Authentifizierung

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. Juli 2016
Dokument-ID:200329

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt die Konfiguration der Captive Portal Authentication (Active Authentication) und Single-Sign-On (Passive Authentication).

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

  • Sourcefire FirePOWER-Geräte
  • Virtuelle Gerätemodelle
  • Light Weight Directory Service (LDAP)
  • FirePOWER UserAgent

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • FirePOWER Management Center (FMC) Version 6.0.0 und höher
  • Firepower Sensor Version 6.0.0 und höher

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

Captive Portal Authentication (Captive Portal) oder Active Authentication (Aktive Authentifizierung) fordert eine Anmeldeseite und Benutzeranmeldeinformationen auf, damit ein Host auf das Internet zugreifen kann.

Die Single-Sign-On- oder Passive-Authentifizierung ermöglicht eine nahtlose Authentifizierung von Benutzern für Netzwerkressourcen und Internetzugriff, ohne dass die Anmeldeinformationen der Benutzer mehrfach eingegeben werden müssen. Die Single-Sign-On-Authentifizierung kann entweder über den FirePOWER User Agent oder die NTLM Browser-Authentifizierung erfolgen. 

Hinweis: Für die Captive Portal-Authentifizierung muss sich die Appliance im Routing-Modus befinden.

Konfigurieren

Schritt 1: Konfigurieren Sie den FirePOWER-Benutzer-Agent für einmalige Anmeldung. 

In diesem Artikel wird erläutert, wie Sie den FirePOWER User Agent in einem Windows-Computer konfigurieren:

Installation und Deinstallation von Sourcefire User Agent

Schritt 2: Integration von FirePOWER Management Center (FMC) mit User Agent

Melden Sie sich beim FirePOWER Management Center an, navigieren Sie zu System > Integration > Identity Sources. Klicken Sie auf die Option Neuer Agent. Konfigurieren Sie die IP-Adresse des User Agent-Systems, und klicken Sie auf die Schaltfläche Hinzufügen.

Klicken Sie auf die Schaltfläche Speichern, um die Änderungen zu speichern. 

200329-Configure-Active-Directory-Integration-w-00.png

Schritt 3: Integration von Firepower in Active Directory

Schritt 3.1 - Erstellen des Bereichs 

Melden Sie sich beim FMC an, navigieren Sie zu System > Integration > Realm (System > Integration > Bereich). Klicken Sie auf die Option Neuen Bereich hinzufügen

Name und Beschreibung: Geben Sie einen Namen/eine Beschreibung für die eindeutige Identifizierung des Bereichs. 

Typ: AD

AD Primary Domain: Domänenname von Active Directory 

Verzeichnisbenutzername: <Benutzername>

Verzeichniskennwort: <Kennwort>

Basis-DN: Domäne oder spezifischer OU-DN, von dem aus das System eine Suche in der LDAP-Datenbank startet. 

Gruppen-DN: Gruppen-DN

Gruppenattribut: Member

200329-Configure-Active-Directory-Integration-w-01.png

Dieser Artikel hilft Ihnen, die Werte für Basis-DN und Gruppen-DN zu ermitteln. 

Identifizieren von Active Directory-LDAP-Objektattributen

Schritt 3.2 Hinzufügen des Verzeichnisservers

Klicken Sie auf die Schaltfläche Hinzufügen, um zum nächsten Schritt zu navigieren, und klicken Sie anschließend auf die Option Verzeichnis hinzufügen

Hostname/IP-Adresse: Konfigurieren Sie die IP-Adresse/den Hostnamen des AD-Servers.

Port: 389 (Active Directory-LDAP-Portnummer )

Verschlüsselung/SSL-Zertifikat: (optional) Informationen zur Verschlüsselung der Verbindung zwischen FMC- und AD-Server finden Sie im

Artikel: Verification of Authentication Object on FireSIGHT System for Microsoft AD Authentication Over SSL/TLS

200329-Configure-Active-Directory-Integration-w-02.png

Klicken Sie auf die Schaltfläche Test, um zu überprüfen, ob FMC eine Verbindung zum AD-Server herstellen kann.  

Schritt 3.3 Ändern der Bereichskonfiguration 

Navigieren Sie zu Realm Configuration (Bereichskonfiguration), um die Integrationskonfiguration des AD-Servers zu überprüfen, und Sie können die AD-Konfiguration ändern.  

Schritt 3.4 Benutzerdatenbank herunterladen

Navigieren Sie zur Option User Download (Benutzerdownload), um die Benutzerdatenbank vom AD-Server abzurufen.  

Aktivieren Sie das Kontrollkästchen zum Herunterladen von Benutzern und Gruppen herunterladen und definieren Sie das Zeitintervall darüber, wie häufig FMC Kontakte AD zum Herunterladen von Benutzerdatenbank führt. 

Wählen Sie die Gruppe aus, und fügen Sie sie in die Include-Option ein, für die Sie die Authentifizierung konfigurieren möchten. 

200329-Configure-Active-Directory-Integration-w-03.png

Aktivieren Sie, wie im Bild gezeigt, den AD-Status:

200329-Configure-Active-Directory-Integration-w-04.png

Schritt 4:  Konfigurieren der Identitätsrichtlinie

Eine Identitätsrichtlinie führt die Benutzerauthentifizierung durch. Wenn sich der Benutzer nicht authentifiziert, wird der Zugriff auf Netzwerkressourcen verweigert. Dadurch wird eine rollenbasierte Zugriffskontrolle (RBAC) für das Netzwerk und die Ressourcen Ihres Unternehmens erzwungen.

Schritt 4.1 Captive Portal (aktive Authentifizierung)    

 Bei der aktiven Authentifizierung wird der Benutzername/das Kennwort für den Browser angefordert, um eine Benutzeridentität zu identifizieren, um eine Verbindung zuzulassen.  Der Browser authentifiziert Benutzer entweder durch Anzeige der Authentifizierungsseite oder authentifiziert sich stumm durch NTLM-Authentifizierung.  NTLM verwendet den Webbrowser, um Authentifizierungsinformationen zu senden und zu empfangen. Die aktive Authentifizierung verwendet verschiedene Typen, um die Identität des Benutzers zu überprüfen. Folgende Authentifizierungstypen sind verfügbar:

  1. HTTP Basic: Bei dieser Methode fordert der Browser zur Eingabe von Benutzeranmeldeinformationen auf. 
  2. NTLM: NTLM verwendet Windows-Workstation-Anmeldeinformationen und handelt sie mithilfe eines Webbrowsers über Active Directory aus. Sie müssen die NTLM-Authentifizierung im Browser aktivieren. Die Benutzerauthentifizierung erfolgt transparent, ohne dass Sie zur Eingabe von Anmeldeinformationen aufgefordert werden. Es bietet eine einmalige Anmeldung für Benutzer. 
  3. HTTP Negotiate (HTTP-Aushandlung): In diesem Typ versucht das System, sich mithilfe von NTLM zu authentifizieren. Wenn dies fehlschlägt, verwendet der Sensor den HTTP Basic-Authentifizierungstyp als Fallbackmethode und fordert ein Dialogfeld für Benutzeranmeldeinformationen auf.
  4. HTTP-Antwortseite: Dies ähnelt dem grundlegenden HTTP-Typ. Hier wird der Benutzer jedoch aufgefordert, die Authentifizierung in einem HTML-Formular auszufüllen, das angepasst werden kann.  

Jeder Browser verfügt über eine spezielle Methode, um die NTLM-Authentifizierung zu aktivieren. Daher befolgen sie die Browserrichtlinien, um die NTLM-Authentifizierung zu aktivieren.

Um die Anmeldeinformationen sicher für den gerouteten Sensor freizugeben, müssen Sie entweder ein selbstsigniertes Serverzertifikat oder ein öffentlich signiertes Serverzertifikat in der Identitätsrichtlinie installieren. 

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt

Navigieren Sie zu Richtlinien > Zugriffskontrolle > Identität. Klicken Sie auf Richtlinie hinzufügen und geben Sie einen Namen für die Richtlinie ein, und speichern Sie diese.

200329-Configure-Active-Directory-Integration-w-05.png

Navigieren Sie zur Registerkarte Aktive Authentifizierung und in der Option Serverzertifikat, klicken Sie auf das Symbol (+) und laden Sie den im vorherigen Schritt mithilfe von openSSL erstellten Zertifikat und privaten Schlüssel hoch. 

200329-Configure-Active-Directory-Integration-w-06.png

Klicken Sie jetzt auf die Schaltfläche Regel hinzufügen, und geben Sie der Regel einen Namen, und wählen Sie die Aktion als aktive Authentifizierung aus. Definieren Sie die Quell-/Zielzone, das Quell-/Zielnetzwerk, für das Sie die Benutzerauthentifizierung aktivieren möchten. 

Wählen Sie den Bereich aus, den Sie im vorherigen Schritt konfiguriert haben, und den Authentifizierungstyp, der Ihrer Umgebung am besten entspricht. 

200329-Configure-Active-Directory-Integration-w-07.png

ASA-Konfiguration für Captive Portal 

 Konfigurieren Sie für das ASA FirePOWER-Modul diese Befehle auf der ASA, um das Captive Portal zu konfigurieren. 

ASA(config)# captive-portal global port 1055

Stellen Sie sicher, dass der Server-Port TCP 1055 in der Port-Option der Registerkarte "Active Authentication" (Aktive Authentifizierung) der Identitätsrichtlinie konfiguriert ist.

Führen Sie den folgenden Befehl aus, um die aktiven Regeln und deren Trefferanzahl zu überprüfen.

ASA# show asp table classify domain captive-portal 

Hinweis:  Der Captive Portal-Befehl ist in der ASA-Version 9.5(2) und höher verfügbar. 

Schritt 4.2 Einmalige Anmeldung (passive Authentifizierung)  

Wenn sich ein Domänenbenutzer bei der passiven Authentifizierung anmeldet und das AD authentifizieren kann, fragt der FirePOWER User Agent die Benutzer-IP-Zuordnungsdetails aus den Sicherheitsprotokollen von AD ab und gibt diese Informationen an das FirePOWER Management Center (FMC) weiter. FMC sendet diese Informationen an den Sensor, um die Zugriffskontrolle durchzusetzen. 

Klicken Sie auf die Schaltfläche Regel hinzufügen, geben Sie der Regel einen Namen, und wählen Sie die Aktion als passive Authentifizierung aus. Definieren Sie die Quell-/Zielzone, das Quell-/Zielnetzwerk, für das Sie die Benutzerauthentifizierung aktivieren möchten. 

Wählen Sie den Bereich, den Sie im vorherigen Schritt konfiguriert haben, und den Authentifizierungstyp aus, der am besten für Ihre Umgebung geeignet ist, wie in diesem Bild gezeigt. 

Hier können Sie die Fallback-Methode als aktive Authentifizierung auswählen, wenn die Benutzeridentität durch passive Authentifizierung nicht identifiziert werden kann

200329-Configure-Active-Directory-Integration-w-08.png

Schritt 5:  Konfigurieren der Zugriffskontrollrichtlinie  

Navigieren Sie zu Richtlinien > Zugriffskontrolle > Richtlinie erstellen/bearbeiten.

Klicken Sie auf die Identitätsrichtlinie (in der linken oberen Ecke), wählen Sie die Identitätsrichtlinie aus, die Sie im vorherigen Schritt konfiguriert haben, und klicken Sie auf die OK-Schaltfläche, wie in diesem Bild gezeigt. 

200329-Configure-Active-Directory-Integration-w-09.png

Klicken Sie auf die Schaltfläche Regel hinzufügen, um eine neue Regel hinzuzufügen, navigieren Sie zu Benutzern und wählen Sie die Benutzer aus, für die die Zugriffskontrollregel durchgesetzt wird, wie in diesem Bild gezeigt. Klicken Sie auf die Schaltfläche OK, und klicken Sie auf Speichern, um die Änderungen zu speichern. 

200329-Configure-Active-Directory-Integration-w-10.png

Schritt 6:  Bereitstellung der Zugriffskontrollrichtlinie  

Navigieren Sie zur Option Deploy, wählen Sie das Gerät aus, und klicken Sie auf die Option Deploy, um die Konfigurationsänderung auf den Sensor zu übertragen. Überwachen Sie die Bereitstellung von Richtlinien über das Nachrichtencenter-Symbol (Symbol zwischen Bereitstellung und Systemoption), und stellen Sie sicher, dass die Richtlinie erfolgreich angewendet werden muss, wie in diesem Bild gezeigt.

200329-Configure-Active-Directory-Integration-w-11.png

Schritt 7:  Überwachen von Benutzerereignissen und Verbindungsereignissen 

Derzeit aktive Benutzersitzungen sind im Abschnitt Analyse > Benutzer > Benutzer verfügbar.

Die Überwachung der Benutzeraktivität hilft dabei herauszufinden, welchen Benutzer welche IP-Adresse zugeordnet hat und wie der Benutzer durch aktive oder passive Authentifizierung vom System erkannt wird. Analyse > Benutzer > Benutzeraktivität 

200329-Configure-Active-Directory-Integration-w-12.png

Navigieren Sie zu Analyse > Verbindungen > Ereignisse, um die Art des vom Benutzer verwendeten Datenverkehrs zu überwachen.

200329-Configure-Active-Directory-Integration-w-13.png

  

Überprüfung und Fehlerbehebung

Navigieren Sie zu Analyse > Benutzer, um die Benutzerauthentifizierungs-/Authentifizierungstyp-/Benutzer-IP-Zuordnungs-/Zugriffsregel zu überprüfen, die dem Datenverkehrsfluss zugeordnet ist. 

Überprüfen der Verbindung zwischen FMC und Benutzer-Agent (passive Authentifizierung)

FirePOWER Management Center (FMC) verwendet den TCP-Port 3306, um Protokolldaten von Benutzern vom Benutzer-Agent zu empfangen.

Verwenden Sie diesen Befehl im FMC, um den FMC-Dienststatus zu überprüfen.

admin@firepower:~$ netstat -tan | grep 3306

Führen Sie die Paketerfassung auf dem FMC aus, um die Verbindung mit dem Benutzer-Agent zu überprüfen. 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

  

Navigieren Sie zu Analyse > Users > User Activity, um zu überprüfen, ob das FMC Benutzeranmeldeinformationen vom Benutzer-Agent empfängt. 

Überprüfen der Verbindung zwischen FMC und Active Directory

FMC verwendet TCP-Port 389, um die Benutzerdatenbank aus der Active Directory.

Führen Sie die Paketerfassung auf dem FMC aus, um die Verbindung mit dem Active Directory zu überprüfen. 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

Stellen Sie sicher, dass die in der FMC Realm-Konfiguration verwendeten Anmeldeinformationen über ausreichende Berechtigungen zum Abrufen der Benutzerdatenbank des AD verfügen. 

Überprüfen Sie die FMC-Realm-Konfiguration, und stellen Sie sicher, dass die Benutzer/Gruppen heruntergeladen und das Timeout für Benutzersitzungen korrekt konfiguriert werden.

Navigieren Sie zu Nachrichtencenter > Aufgaben, und stellen Sie sicher, dass der Download von Task-Benutzern/Gruppen erfolgreich abgeschlossen wurde, wie in diesem Bild gezeigt.

200329-Configure-Active-Directory-Integration-w-14.png

Überprüfen der Verbindung zwischen dem FirePOWER-Sensor und dem Endsystem (aktive Authentifizierung)

Für die aktive Authentifizierung stellen Sie sicher, dass das Zertifikat und der Port in der FMC-Identitätsrichtlinie korrekt konfiguriert sind. Standardmäßig überwacht der FirePOWER-Sensor den TCP-Port 885 für die aktive Authentifizierung.

Überprüfen der Richtlinienkonfiguration und Richtlinienbereitstellung

Stellen Sie sicher, dass die Felder Bereich, Authentifizierungstyp, Benutzeragent und Aktion in der Identitätsrichtlinie korrekt konfiguriert sind. 

Stellen Sie sicher, dass die Identitätsrichtlinie der Zugriffskontrollrichtlinie korrekt zugeordnet ist. 

Navigieren Sie zu Nachrichtencenter > Aufgaben, und stellen Sie sicher, dass die Richtlinienbereitstellung erfolgreich abgeschlossen wurde. 

Analysieren der Ereignisprotokolle 

Die Verbindung und die Benutzeraktivitätsereignisse können verwendet werden, um zu ermitteln, ob die Benutzeranmeldung erfolgreich war oder nicht.Diese Ereignisse

kann auch überprüfen, welche Zugriffskontrollregel auf den Fluss angewendet wird.

Navigieren Sie zu Analyse > Benutzer, um die Benutzerereignisprotokolle zu überprüfen.

Navigieren Sie zu Analyse > Connection Events, um die Verbindungsereignisse zu überprüfen. 

Zugehörige Informationen

TAC Authored

Beiträge von Cisco Ingenieuren

  • Sunil Kumar
    Cisco TAC-Techniker
  • Prashant Joshi
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.