Configuración de la Integración de Active Directory con Firepower Appliance para el Inicio de Sesión Único y la Autenticación de Portal cautivo

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de julio de 2016
ID del documento:200329

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la configuración de la autenticación del portal cautivo (autenticación activa) y el inicio de sesión único (autenticación pasiva).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Dispositivos de Sourcefire Firepower
  • Modelos de dispositivos virtuales
  • Servicio de directorio ligero (LDAP)
  • Agente de usuario Firepower

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Firepower Management Center (FMC) versión 6.0.0 y posterior
  • Firepower sensor versión 6.0.0 y posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Antecedentes

La autenticación de portal cautiva o la autenticación activa solicita una página de inicio de sesión y se necesitan credenciales de usuario para que un host obtenga acceso a Internet.

La autenticación de inicio de sesión único o pasiva proporciona una autenticación sin problemas a un usuario para los recursos de red y el acceso a Internet sin introducir credenciales de usuario varias veces. La autenticación de inicio de sesión único se puede lograr mediante Firepower user agent o la autenticación del navegador NTLM. 

Nota: Para la autenticación de portal cautivo, el dispositivo debe estar en modo ruteado.

Configurar

Paso 1. Configuración del agente de usuario Firepower para el inicio de sesión único 

En este artículo se explica cómo configurar Firepower User Agent en una máquina con Windows:

Instalación y desinstalación del agente de usuario de Sourcefire

Paso 2. Integre Firepower Management Center (FMC) con el agente de usuario

Inicie sesión en Firepower Management Center, navegue hasta System > Integration > Identity Sources. Haga clic en la opción Nuevo agente. Configure la dirección IP del sistema Agente de usuario y haga clic en el botón Agregar.

Haga clic en el botón Guardar para guardar los cambios. 

Paso 3. Integrar Firepower con Active Directory

Paso 3.1 Creación del rango 

Inicie sesión en el FMC, navegue hasta Sistema > Integración > Rango. Haga clic en la opción Agregar nuevo rango

Nombre y descripción: asigne un nombre o una descripción para identificar de forma única el rango. 

Tipo: AD

Dominio primario de AD: Nombre de dominio de Active Directory 

Nombre de usuario del directorio: <username>

Contraseña del directorio: <password>

DN base: Dominio o DN OU específico desde donde el sistema iniciará una búsqueda en la base de datos LDAP. 

DN de grupo: DN de grupo

Atributo de grupo: Miembro

Este artículo le ayuda a descubrir los valores DN base y DN de grupo. 

Identificar atributos de objetos LDAP de Active Directory

Paso 3.2 Agregar el servidor de directorio

Haga clic en el botón Add para navegar al paso siguiente y luego haga clic en la opción Add directory

Nombre de host/Dirección IP: configure la dirección IP/nombre de host del servidor AD.

Puerto: 389 (número de puerto LDAP de Active Directory )

Certificado de cifrado/SSL: (opcional) Para cifrar la conexión entre el servidor FMC y AD , consulte el

artículo: Verificación del Objeto de Autenticación en FireSIGHT System para la Autenticación de Microsoft AD sobre SSL/TLS

Haga clic en el botón Prueba para verificar si FMC puede conectarse al servidor AD.  

Paso 3.3 Modificación de la configuración de rango 

Navegue hasta Configuración de rango para verificar la configuración de integración del servidor AD y puede modificar la configuración de AD.  

Paso 3.4 Descargar base de datos de usuarios

Vaya a la opción User Download para obtener la base de datos de usuario del servidor AD.  

Active la casilla de verificación para descargar Descargar usuarios y grupos y definir el intervalo de tiempo sobre la frecuencia con la que FMC se pone en contacto con AD para descargar la base de datos de usuarios. 

Seleccione el grupo y colóquelo en la opción Include para la que desea configurar la autenticación. 

Como se muestra en la imagen, habilite el estado AD:

Paso 4.  Configuración de la política de identidad

Una política de identidad realiza la autenticación de usuario. Si el usuario no se autentica, se deniega el acceso a los recursos de red. De este modo, se aplica el control de acceso basado en roles (RBAC) a la red y los recursos de su organización.

Paso 4.1 Portal cautivo (autenticación activa)    

 Active Authentication solicita el nombre de usuario/la contraseña en el navegador para identificar una identidad de usuario para permitir cualquier conexión.  El explorador autentica al usuario mediante la presentación de la página de autenticación o se autentica silenciosamente con la autenticación NTLM.  NTLM utiliza el navegador web para enviar y recibir información de autenticación. Active Authentication utiliza varios tipos para verificar la identidad del usuario. Los diferentes tipos de autenticación son:

  1. HTTP Basic: En este método, el explorador solicita las credenciales del usuario. 
  2. NTLM: NTLM utiliza las credenciales de la estación de trabajo de windows y las negocia con Active Directory mediante un navegador web. Debe habilitar la autenticación NTLM en el explorador. La autenticación de usuario se realiza de forma transparente sin solicitar credenciales. Proporciona una experiencia de inicio de sesión único para los usuarios. 
  3. Negociación HTTP: En este tipo, el sistema intenta autenticarse utilizando NTLM, si falla, el sensor utilizará el tipo de autenticación HTTP Basic como método de reserva y solicitará un cuadro de diálogo para las credenciales del usuario.
  4. Página de respuesta HTTP: Esto es similar al tipo básico de HTTP; sin embargo, aquí se le solicita al usuario que rellene la autenticación en un formulario HTML que se puede personalizar.  

Cada navegador tiene una manera específica de habilitar la autenticación NTLM y por lo tanto siguen las pautas del navegador para habilitar la autenticación NTLM.

Para compartir las credenciales de forma segura con el sensor ruteado, debe instalar el certificado de servidor autofirmado o el certificado de servidor firmado públicamente en la política de identidad. 

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt

Vaya a Políticas > Control de acceso > Identidad. Haga clic en Agregar política y asigne un nombre a la política y guárdela.

Vaya a la ficha Autenticación activa y, en la opción Certificado de servidor, haga clic en el icono (+) y cargue el certificado y la clave privada que generó en el paso anterior mediante openSSL. 

Ahora haga clic en el botón Agregar regla y asigne un nombre a la regla y elija la acción como Autenticación activa. Defina la zona de origen/destino, la red de origen/destino para la que desea habilitar la autenticación de usuario. 

Seleccione el rango, que ha configurado en el paso anterior y el tipo de autenticación que mejor se adapte a su entorno. 

Configuración de ASA para el portal cautivo 

 Para el módulo ASA Firepower, configure estos comandos en el ASA para configurar el portal cautivo. 

ASA(config)# captive-portal global port 1055

Asegúrese de que el puerto del servidor, TCP 1055, esté configurado en la opción de puerto de la ficha Autenticación activa de la política de identidad.

Para verificar las reglas activas y sus recuentos de aciertos, ejecute el siguiente comando.

ASA# show asp table classify domain captive-portal 

Nota:  El comando Captive Portal está disponible en ASA versión 9.5(2) y posteriores. 

Paso 4.2 Inicio de sesión único (autenticación pasiva)  

En la autenticación pasiva, cuando un usuario de dominio inicia sesión y puede autenticar el AD, Firepower User Agent sondea los detalles de asignación de IP de usuario de los registros de seguridad de AD y comparte esta información con Firepower Management Center (FMC). FMC envía estos detalles al sensor para aplicar el control de acceso. 

Haga clic en el botón Agregar regla y asigne un nombre a la regla y elija la acción como autenticación pasiva. Defina la zona de origen/destino, la red de origen/destino para la que desea habilitar la autenticación de usuario. 

Seleccione el rango que ha configurado en el paso anterior y el tipo de autenticación que mejor ajuste su entorno, como se muestra en esta imagen. 

Aquí puede elegir el método de repliegue como autenticación activa si la autenticación pasiva no puede identificar la identidad del usuario

Paso 5.  Configuración de la política de control de acceso  

Vaya a Políticas > Control de acceso > Crear/editar una directiva.

Haga clic en la Política de identidad (esquina superior izquierda), elija la Política de identificación que ha configurado en el paso anterior y haga clic en el botón Aceptar, como se muestra en esta imagen. 

Haga clic en el botón Agregar regla para agregar una nueva regla, navegue hasta Usuarios y seleccione los usuarios para los que se aplicará la regla de control de acceso, como se muestra en esta imagen. Haga clic en el botón OK y haga clic en el botón Save para guardar los cambios. 

Paso 6.  Implementar la política de control de acceso  

Navegue hasta la opción Deploy, elija el Dispositivo y haga clic en la opción Deploy para enviar el cambio de configuración al sensor. Supervise la implementación de la política desde la opción Icono del centro de mensajes (icono entre la opción Implementar y el sistema) y asegúrese de que la política se debe aplicar correctamente, como se muestra en esta imagen.

Paso 7.  Supervisar eventos de usuario y eventos de conexiones 

Las sesiones de usuario actualmente activas están disponibles en la sección Análisis > Usuarios > Usuarios.

La supervisión de la actividad del usuario ayuda a averiguar qué usuario se ha asociado con qué dirección IP y cómo el usuario detecta el sistema mediante la autenticación activa o pasiva. Analysis > Users > User Activity 

Navegue hasta Análisis > Conexiones > Eventos, para monitorear el tipo de tráfico que utiliza el usuario.

  

Verificación y resolución de problemas

Navegue hasta Análisis > Usuarios para verificar la regla de acceso/autenticación de usuario/asignación de IP de usuario asociada con el flujo de tráfico. 

Verifique la conectividad entre FMC y el agente de usuario (autenticación pasiva)

Firepower Management Center (FMC) utiliza el puerto TCP 3306 para recibir los datos del registro de actividad del usuario del agente de usuario.

Para verificar el estado del servicio FMC, utilice este comando en el FMC.

admin@firepower:~$ netstat -tan | grep 3306

Ejecute la captura de paquetes en el FMC para verificar la conectividad con el Agente de usuario. 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

  

Navegue hasta Análisis > Usuarios > Actividad del usuario para verificar si FMC está recibiendo los detalles de inicio de sesión del usuario del Agente del usuario. 

Verificar la conectividad entre FMC y Active Directory

FMC utiliza el puerto TCP 389 para recuperar la base de datos de usuario de la Active Directory.

Ejecute la captura de paquetes en el FMC para verificar la conectividad con Active Directory. 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

Asegúrese de que la credencial de usuario utilizada en la configuración de rango de FMC tenga el privilegio suficiente para obtener la base de datos de usuario de AD. 

Verifique la configuración del rango FMC y asegúrese de que los usuarios/grupos se descarguen y que el tiempo de espera de la sesión del usuario esté configurado correctamente.

Navegue hasta Centro de mensajes > Tareas y asegúrese de que la tarea usuarios/grupos de descarga se complete correctamente, como se muestra en esta imagen.

Verificar la conectividad entre el sensor Firepower y el sistema final (autenticación activa)

Para la autenticación activa, asegúrese de que el certificado y el puerto estén configurados correctamente en la política de identidad de FMC.De forma predeterminada, el sensor Firepower escucha en el puerto TCP 885 para la autenticación activa.

Verificación de la configuración de políticas e implementación de políticas

Asegúrese de que los campos Rango, Tipo de autenticación, Agente de usuario y Acción estén configurados correctamente en Política de identidad. 

Asegúrese de que la política de identidad está correctamente asociada a la política de control de acceso. 

Navegue hasta Centro de mensajes > Tareas y asegúrese de que la implementación de políticas se complete correctamente. 

Analizar los registros de eventos 

Los eventos Connection y User Activity se pueden utilizar para diagnosticar si el inicio de sesión del usuario es correcto o no.Estos eventos

También puede verificar qué regla de control de acceso se está aplicando en el flujo.

Navegue hasta Análisis > Usuario para verificar los registros de eventos de usuario.

Vaya a Análisis > Eventos de conexión para comprobar los eventos de conexión. 

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Sunil Kumar
    Ingeniero del TAC de Cisco
  • Prashant Joshi
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos