Configurar a integração do ative directory com o ASDM para Único-Sinal-em & autenticação portal prisioneira (o Gerenciamento da Em-caixa)
Índice
Introdução
Este documento descreve a configuração da autenticação portal prisioneira (autenticação ativa) e Único-Sinal-em (autenticação passiva) no módulo de FirePOWER usando ASDM (Security Device Manager adaptável).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento do Firewall ASA (ferramenta de segurança adaptável) e do ASDM
- Conhecimento do módulo de FirePOWER
- Serviço de diretório de pouco peso (LDAP)
- FirePOWER UserAgent
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Versão de software running 5.4.1 dos módulos ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) e acima.
- Versão de software running 6.0.0 do módulo ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) e acima.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Informações de Apoio
A autenticação portal prisioneira ou a autenticação ativa alertam uma página de login e as credenciais do usuário são exigidas para que um host obtenha o acesso à internet.
Único-Sinal-em ou a autenticação passiva fornece a autenticação sem emenda a um usuário para recursos de rede e acesso à internet sem os tempos múltiplos credenciais entrando do usuário. Único-Sinal-na autenticação pode ser conseguido pelo agente de usuário de FirePOWER ou pela autenticação de navegador NTLM.
Configurar
Etapa 1. Configurar o agente de usuário de FirePOWER para Único-Sinal-em.
Este artigo explica como configurar o agente de usuário de FirePOWER na máquina de Windows:
A instalação e desinstalação do agente de usuário de Sourcefire
Etapa 2. Integre o módulo de FirePOWER (ASDM) com agente de usuário.
Entre ao ASDM, navegue às fontes da configuração > da configuração > da integração > da identidade ASA FirePOWER e à opção do agente de usuário do clickthe. Depois que você clica sobre a opção do agente de usuário e configura o endereço IP de Um ou Mais Servidores Cisco ICM NT do sistema do agente de usuário. clique sobre Add, segundo as indicações da imagem:
Clique sobre o botão Save Button para salvar as mudanças.
Etapa 3. Integre FirePOWER com diretório ativo.
Etapa 3.1 Crie o reino.
Entre ao ASDM, navegue à configuração > à configuração > à integração > aos reinos ASA FirePOWER. Clique adicionam sobre um reino novo.
Nome & descrição: Dê um nome/descrição para identificar excepcionalmente o reino.
Digite: AD
Domínio principal AD: Domain Name do diretório ativo (nome de netbios).
Username do diretório: Especifique o <username>.
Senha de diretório: Especifique o <password>.
Baseie o DN: Domínio ou OU específico DN de onde o sistema começará uma busca no base de dados LDAP.
Grupo DN: Especifique o grupo DN.
Atributo de grupo: Especifique o membro da opção da lista de drop-down.
Clique sobre ESTÁ BEM para salvar a configuração.
Este artigo pode ajudá-lo a figurar para fora os valores da base DN e do grupo DN.
Identifique atributos de objeto do diretório ativo LDAP
Etapa 3.2 Adicionar o endereço IP de Um ou Mais Servidores Cisco ICM NT/hostname do servidor de diretório.
Para especificar o server IP/hostname AD, clique sobre o diretório Add.
Hostname/endereço IP de Um ou Mais Servidores Cisco ICM NT: configurar o endereço IP de Um ou Mais Servidores Cisco ICM NT/hostname do server AD.
Porta: Especifique o número de porta do diretório ativo LDAP (padrão 389).
Certificado Encryption/SSL: (opcional) para cifrar a conexão entre o server FMC & AD, consulte este artigo:
Clique o teste a fim verificar a conexão de FMC com o server AD. Clique agora a APROVAÇÃO para salvar a configuração.
Etapa 3.3 Altere a configuração do reino.
A fim alterar e verificar a configuração da integração do server AD, navegue à configuração do reino.
Etapa 3.4 Base de dados de usuário da transferência.
Navegue à transferência do usuário para buscar a base de dados de usuário do server AD.
Permita a caixa de verificação de transferir usuários e grupos da transferência e de definir o intervalo de tempo sobre como frequentemente o módulo de FirePOWER contacta o server AD para transferir a base de dados de usuário.
Selecione o grupo e adicionar-lo à opção incluir para que você quer configurar a autenticação. À revelia, todos os grupos são selecionados se você não escolhe incluir os grupos.
Clique sobre mudanças da loja ASA FirePOWER para salvar a configuração do reino.
Permita o estado do reino e clique o botão da transferência para transferir os usuários e os grupos, segundo as indicações da imagem.
Etapa 4. Configurar a política da identidade.
Uma política da identidade executa a autenticação de usuário. Se o usuário não autentica, o acesso aos recursos de rede está recusado. Isto reforça o controle de acesso Papel-baseado (RBAC) à rede e aos recursos da sua organização.
Etapa 4.1 Portal prisioneiro (autenticação ativa).
A autenticação ativa pede o nome de usuário e senha no navegador identificar uma identidade do usuário para permitir toda a conexão. O navegador autentica o usuário apresentando a página da autenticação ou autentica-o silenciosamente com autenticação de NTLM. O NTLM usa o navegador da Web para enviar e receber a informação da autenticação. A autenticação ativa usa vários tipos para verificar a identidade do usuário. Os tipos diferentes de autenticação são:
- HTTP básico: Neste método, as alertas do navegador para credenciais do usuário.
- NTLM: O NTLM usa credenciais da estação de trabalho do Windows e negocia-as com o diretório ativo usando um navegador da Web. Você precisa de permitir a autenticação de NTLM no navegador. A autenticação de usuário acontece transparentemente sem credenciais de alerta. Fornece um único sinal-na experiência para usuários.
- O HTTP negocia: Neste tipo, o sistema tenta autenticar usando o NTLM, se falha então o tipo da autenticação básica dos usos HTTP do sensor como um método da reserva e alerta uma caixa de diálogo para credenciais do usuário.
- Página da resposta HTTP: Isto é similar ao tipo básico HTTP, contudo, o usuário é alertado aqui encher a autenticação em um formulário HTML que possa ser personalizado.
Cada navegador tem uma maneira específica de permitir a autenticação de NTLM e daqui, você pode seguir diretrizes do navegador a fim permitir a autenticação de NTLM.
Para compartilhar firmemente das credenciais com o sensor roteado, você precisa de instalar o certificado de servidor auto-assinado ou o certificado de servidor público-assinado na política da identidade.
Generate a simple self-signed certificate using openSSL -
Step 1. Generate the Private key
openssl genrsa -des3 -out server.key 2048
Step 2. Generate Certificate Signing Request (CSR)
openssl req -new -key server.key -out server.csr
Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política da identidade. Navegue agora à aba ativa da autenticação e na opção do certificado de servidor, clicam o ícone (+) e transferem arquivos pela rede o certificado e a chave privada que você gerou na etapa precedente usando o OpenSSL, segundo as indicações da imagem:
Clique agora sobre a regra Add para dar um nome à regra e para escolher a ação como a autenticação ativa. Defina a fonte/zona de destino, a fonte/rede de destino para que você quer permitir a autenticação de usuário.
Navegue à aba do reino & dos ajustes. Selecione o reino da lista de drop-down que você configurou na etapa precedente e selecione o tipo do autenticação da lista de drop-down que esse melhor sere seu ambiente de rede.
Etapa 4.2 Configuração ASA para o portal prisioneiro.
Etapa 1. Defina o tráfego interessante que será reorientado a Sourcefire para a inspeção.
ASA(config)# access-list SFR_ACL extended permit ip 192.168.10.0 255.255.255.0 any ASA(config)# ASA(config)# class-map SFR_CMAP ASA(config-cmap)# match access-list SFR_ACL ASA(config)# policy-map global_policy ASA(config-pmap)# class SFR_CMAP ASA(config-pmap-c)# sfr fail-open
ASA(config)#service-policy global_policy global
Etapa 2. Configurar este comando no ASA a fim permitir o portal prisioneiro.
ASA(config)# captive-portal interface inside port 1025
Etapa 4.3 Único-Sinal-em (autenticação passiva).
Na autenticação passiva, quando os inícios de uma sessão de um usuário de domínio e podem autenticar o AD, o agente de usuário de FirePOWER vota os detalhes do mapeamento USER-IP dos registros de segurança do AD e compartilha desta informação com o módulo de FirePOWER. O módulo de FirePOWER usa estes detalhes a fim reforçar o controle de acesso.
Para configurar a regra passiva da autenticação, clique sobre a regra Add para dar um nome à regra e para escolher então a ação como a autenticação passiva. Defina a fonte/zona de destino, a fonte/rede de destino para que você quer permitir a autenticação de usuário.
Navegue à aba do reino & dos ajustes. Selecione o reino da lista de drop-down que você configurou na etapa precedente.
Aqui você pode escolher recua o método como a autenticação ativa se a autenticação passiva não pode identificar a identidade do usuário, segundo as indicações da imagem:
Clique agora sobre mudanças da loja ASA FirePOWER para salvar a configuração da política da identidade.
Etapa 5. Configurar a política do controle de acesso.
Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política do controle de acesso.
Clique a política da identidade (canto superior do lado esquerdo), selecione a política da identificação que você configurou na etapa precedente da lista de drop-down e clica a APROVAÇÃO, segundo as indicações desta imagem.
Clique sobre a regra Add para adicionar uma regra nova, navegue aos usuários e selecione os usuários para que a regra do controle de acesso será reforçada, segundo as indicações desta imagem e o clique adiciona.
Clique sobre mudanças da loja ASA FirePOWER para salvar a configuração da política do controle de acesso.
Etapa 6. Distribua a política do controle de acesso.
Você deve distribuir a política do controle de acesso. Antes que você aplique a política, você verá uma política do controle de acesso da indicação expirado no módulo. Para distribuir as mudanças ao sensor, para clicar sobre Deploy e para escolhê-la distribui a opção das mudanças de FirePOWER a seguir clica sobre Deploy na janela pop-up.
Etapa 7. Monitore eventos do usuário.
Navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing, monitorar o tipo de tráfego que está sendo usado pelo usuário.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Navegue à análise > aos usuários no orderto verificam a regra do mapeamento autenticação de usuário/tipo do autenticação/IP/acesso associada com o fluxo de tráfego.
Conectividade entre o módulo de FirePOWER e o agente de usuário (autenticação passiva)
O módulo de FirePOWER usa a porta TCP 3306, a fim receber dados de registro da atividade do usuário do agente de usuário.
A fim verificar o estado do serviço do módulo de FirePOWER, use este comando no FMC.
admin@firepower:~$ netstat -tan | grep 3306
Execute a captura de pacote de informação no FMC a fim verificar a Conectividade com o agente de usuário.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
Conectividade entre FMC e diretório ativo
O módulo de FirePOWER usa a porta TCP 389 a fim recuperar a base de dados de usuário do diretório ativo.
Execute a captura de pacote de informação no módulo de FirePOWER para verificar a Conectividade com o diretório ativo.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
Assegure-se de que as credenciais do usuário usadas na configuração do reino tenham o privilégio suficiente buscar a base de dados de usuário do AD.
Verifique a configuração do reino, e assegure-se de que os usuários/grupos estejam transferidos e intervalo de sessão do usuário esteja configurada corretamente.
Navegue a monitorar o estado das tarefas de monitoramento ASA FirePOWER e assegure-se de que os usuários/grupos da tarefa transferência terminem com sucesso, segundo as indicações desta imagem.
Conectividade entre ASA e sistema final (autenticação ativa)
a autenticação ativa, assegura-se de que o certificado e a porta estejam configurados corretamente na política da identidade do módulo de FirePOWER e no ASA (comando do cativo-portal). À revelia, o módulo ASA e de FirePOWER escuta na porta TCP 885 a autenticação ativa.
A fim verificar as regras do active e suas contagens da batida, execute este comando no ASA.
ASA# show asp table classify domain captive-portal
Input Table
in id=0x2aaadf516030, priority=121, domain=captive-portal, deny=false
hits=10, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip/id=19.19.19.130, mask=255.255.255.255, port=1025, tag=any, dscp=0x0
input_ifc=inside, output_ifc=identity
Output Table:
L2 - Output Table:
L2 - Input Table:
Last clearing of hits counters: Never
Configuração das normas & distribuição de política
Assegure-se de que os campos do reino, do tipo do autenticação, do agente de usuário e de ação estejam configurados corretamente na política da identidade.
Assegure-se de que a política da identidade esteja associada corretamente com a política do controle de acesso.
Navegue à monitoração > ASA FirePOWER que monitora > estado da tarefa e assegure-se de que a distribuição de política termine com sucesso.
Troubleshooting
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)