A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve a configuração da autenticação portal prisioneira (autenticação ativa) e Único-Sinal-em (autenticação passiva) no módulo de FirePOWER usando ASDM (Security Device Manager adaptável).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
A autenticação portal prisioneira ou a autenticação ativa alertam uma página de login e as credenciais do usuário são exigidas para que um host obtenha o acesso à internet.
Único-Sinal-em ou a autenticação passiva fornece a autenticação sem emenda a um usuário para recursos de rede e acesso à internet sem os tempos múltiplos credenciais entrando do usuário. Único-Sinal-na autenticação pode ser conseguido pelo agente de usuário de FirePOWER ou pela autenticação de navegador NTLM.
Nota: A autenticação portal prisioneira, ASA deve reagir do modo roteado.
Nota: O comando portal prisioneiro está disponível na versão ASA 9.5(2) e atrasado.
Este artigo explica como configurar o agente de usuário de FirePOWER na máquina de Windows:
A instalação e desinstalação do agente de usuário de Sourcefire
Entre ao ASDM, navegue à configuração > à configuração ASA FirePOWER > às fontes da integração > da identidade e à opção do agente de usuário do clickthe. Depois que você clica sobre a opção do agente de usuário e configura o IP address do sistema do agente de usuário. clique sobre Add, segundo as indicações da imagem:
Clique sobre o botão Save Button para salvar as mudanças.
Entre ao ASDM, navegue à configuração > à configuração > à integração > aos reinos ASA FirePOWER. Clique adicionam sobre um reino novo.
Nome & descrição: Dê um nome/descrição para identificar excepcionalmente o reino.
Tipo: AD
Domínio principal AD: Domain Name do diretório ativo (nome de netbios).
Username do diretório: Especifique o <username>.
Senha de diretório: Especifique o <password>.
Baseie o DN: Domínio ou OU específico DN de onde o sistema começará uma busca no base de dados LDAP.
Grupo DN: Especifique o grupo DN.
Atributo de grupo: Especifique o membro da opção da lista de drop-down.
Clique sobre ESTÁ BEM para salvar a configuração.
Este artigo pode ajudá-lo a figurar para fora valores DN da base DN e do grupo.
Identifique atributos de objeto do diretório ativo LDAP
Para especificar o server IP/hostname AD, clique sobre o diretório Add.
Hostname/IP address: configurar o IP address/hostname do server AD.
Porta: Especifique o número de porta do diretório ativo LDAP (padrão 389).
Certificado Encryption/SSL: (opcional) para cifrar a conexão entre o server FMC & AD, consulte este artigo:
Teste do clique a fim verificar a conexão de FMC com o server AD. Agora APROVAÇÃO do clique para salvar a configuração.
A fim alterar e verificar a configuração da integração do server AD, navegue à configuração do reino.
Navegue à transferência do usuário para buscar a base de dados de usuário do server AD.
Permita a caixa de verificação de transferir usuários e grupos da transferência e de definir o intervalo de tempo sobre como frequentemente o módulo de FirePOWER contacta o server AD para transferir a base de dados de usuário.
Selecione o grupo e adicionar-lo à opção incluir para que você quer configurar a autenticação. À revelia, todos os grupos são selecionados se você não escolhe incluir os grupos.
Clique sobre mudanças da loja ASA FirePOWER para salvar a configuração do reino.
Permita o estado do reino e clique o botão da transferência para transferir os usuários e os grupos, segundo as indicações da imagem.
Uma política da identidade executa a autenticação de usuário. Se o usuário não autentica, o acesso aos recursos de rede está recusado. Isto reforça o controle de acesso Papel-baseado (RBAC) à rede e aos recursos da sua organização.
A autenticação ativa pede o nome de usuário e senha no navegador identificar uma identidade do usuário para permitir toda a conexão. O navegador autentica o usuário apresentando a página da autenticação ou autentica-o silenciosamente com autenticação de NTLM. O NTLM usa o web browser para enviar e receber a informação da autenticação. A autenticação ativa usa vários tipos para verificar a identidade do usuário. Os tipos diferentes de autenticação são:
Cada navegador tem uma maneira específica de permitir a autenticação de NTLM e daqui, você pode seguir diretrizes do navegador a fim permitir a autenticação de NTLM.
Para compartilhar firmemente das credenciais com o sensor roteado, você precisa de instalar o certificado de servidor auto-assinado ou o certificado de servidor público-assinado na política da identidade.
Generate a simple self-signed certificate using openSSL - Step 1. Generate the Private key openssl genrsa -des3 -out server.key 2048 Step 2. Generate Certificate Signing Request (CSR) openssl req -new -key server.key -out server.csr Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política da identidade. Navegue agora à aba ativa da autenticação e na opção do certificado de servidor, clicam o ícone (+) e transferem arquivos pela rede o certificado e a chave privada que você gerou na etapa precedente usando o OpenSSL, segundo as indicações da imagem:
Clique agora sobre a regra Add para dar um nome à regra e para escolher a ação como a autenticação ativa. Defina a fonte/zona de destino, a fonte/rede de destino para que você quer permitir a autenticação de usuário.
Navegue à aba do reino & dos ajustes. Selecione o reino da lista de drop-down que você configurou na etapa precedente e selecione o tipo do autenticação da lista de drop-down que esse melhor sere seu ambiente de rede.
Etapa 1. Defina o tráfego interessante que será reorientado a Sourcefire para a inspeção.
ASA(config)# access-list SFR_ACL extended permit ip 192.168.10.0 255.255.255.0 any ASA(config)# ASA(config)# class-map SFR_CMAP ASA(config-cmap)# match access-list SFR_ACL ASA(config)# policy-map global_policy ASA(config-pmap)# class SFR_CMAP ASA(config-pmap-c)# sfr fail-open
ASA(config)#service-policy global_policy global
Etapa 2. Configurar este comando no ASA a fim permitir o portal prisioneiro.
ASA(config)# captive-portal interface inside port 1025
Dica: o cativo-portal pode ser permitido globalmente ou pela base da relação.
Dica: Assegure-se de que a porta de servidor, TCP 1025 esteja configurada na opção da porta da aba ativa da autenticação da política da identidade.
Na autenticação passiva, quando os inícios de uma sessão de um usuário de domínio e podem autenticar o AD, o agente de usuário de FirePOWER vota os detalhes do mapeamento USER-IP dos logs de Segurança do AD e compartilha desta informação com o módulo de FirePOWER. O módulo de FirePOWER usa estes detalhes a fim reforçar o controle de acesso.
Para configurar a regra passiva da autenticação, clique sobre a regra Add para dar um nome à regra e para escolher então a ação como a autenticação passiva. Defina a fonte/zona de destino, a fonte/rede de destino para que você quer permitir a autenticação de usuário.
Navegue à aba do reino & dos ajustes. Selecione o reino da lista de drop-down que você configurou na etapa precedente.
Aqui você pode escolher recua o método como a autenticação ativa se a autenticação passiva não pode identificar a identidade do usuário, segundo as indicações da imagem:
Clique agora sobre mudanças da loja ASA FirePOWER para salvar a configuração da política da identidade.
Navegue à configuração > à configuração ASA FirePOWER > às políticas > à política do controle de acesso.
Clique a política da identidade (canto superior do lado esquerdo), selecione a política da identificação que você configurou na etapa precedente da lista de drop-down e clica a APROVAÇÃO, segundo as indicações desta imagem.
Clique sobre a regra Add para adicionar uma regra nova, navegue aos usuários e selecione os usuários para que a regra do controle de acesso será reforçada, segundo as indicações desta imagem e o clique adiciona.
Clique sobre mudanças da loja ASA FirePOWER para salvar a configuração da política do controle de acesso.
Você deve distribuir a política do controle de acesso. Antes que você aplique a política, você verá uma política do controle de acesso da indicação expirado no módulo. Para distribuir as mudanças ao sensor, para clicar sobre Deploy e para escolhê-la distribui a opção das mudanças de FirePOWER a seguir clica sobre Deploy na janela pop-up.
Nota: Na versão 5.4.x, para aplicar a política de acesso ao sensor, você precisa de clicar aplica mudanças ASA FirePOWER
Nota: Navegue à monitoração > ASA FirePOWER que monitora > estado da tarefa. Assegure-se de que a tarefa deva terminar a aplicação da alteração de configuração.
Navegue à monitoração > ASA FirePOWER que monitora > tempo real Eventing, monitorar o tipo de tráfego que está sendo usado pelo usuário.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Navegue à análise > aos usuários no orderto verificam a regra do mapeamento autenticação de usuário/tipo do autenticação/IP/acesso associada com o fluxo de tráfego.
O módulo de FirePOWER usa a porta TCP 3306, a fim receber dados de registro da atividade do usuário do agente de usuário.
A fim verificar o estado do serviço do módulo de FirePOWER, use este comando no FMC.
admin@firepower:~$ netstat -tan | grep 3306
Execute a captura de pacote de informação no FMC a fim verificar a Conectividade com o agente de usuário.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
O módulo de FirePOWER usa a porta TCP 389 a fim recuperar a base de dados de usuário do diretório ativo.
Execute a captura de pacote de informação no módulo de FirePOWER para verificar a Conectividade com o diretório ativo.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
Assegure-se de que as credenciais do usuário usadas na configuração do reino tenham o privilégio suficiente buscar a base de dados de usuário do AD.
Verifique a configuração do reino, e assegure-se de que os usuários/grupos estejam transferidos e intervalo de sessão do usuário esteja configurada corretamente.
Navegue a monitorar o estado das tarefas de monitoramento ASA FirePOWER e assegure-se de que os usuários/grupos da tarefa transferência terminem com sucesso, segundo as indicações desta imagem.
a autenticação ativa, assegura-se de que o certificado e a porta estejam configurados corretamente na política da identidade do módulo de FirePOWER e no ASA (comando do cativo-portal). À revelia, o módulo ASA e de FirePOWER escuta na porta TCP 885 a autenticação ativa.
A fim verificar as regras do active e suas contagens da batida, execute este comando no ASA.
ASA# show asp table classify domain captive-portal
Input Table
in id=0x2aaadf516030, priority=121, domain=captive-portal, deny=false
hits=10, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip/id=19.19.19.130, mask=255.255.255.255, port=1025, tag=any, dscp=0x0
input_ifc=inside, output_ifc=identity
Output Table:
L2 - Output Table:
L2 - Input Table:
Last clearing of hits counters: Never
Assegure-se de que os campos do reino, do tipo do autenticação, do agente de usuário e de ação estejam configurados corretamente na política da identidade.
Assegure-se de que a política da identidade esteja associada corretamente com a política do controle de acesso.
Navegue à monitoração > ASA FirePOWER que monitora > estado da tarefa e assegure-se de que a distribuição de política termine com sucesso.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.