Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar a Integração do Ative Diretory com o Firepower Appliance para a Autenticação de Portal de Logon Único e Captivo

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de Julho de 2016
ID do documento:200329

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve a configuração da autenticação do portal cativo (autenticação ativa) e do logon único (autenticação passiva).

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Dispositivos Firepower da Sourcefire
  • Modelos de dispositivos virtuais
  • LDAP (Light Weight Diretory Service)
  • Firepower UserAgent

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Firepower Management Center (FMC) versão 6.0.0 e superior
  • Firepower sensor versão 6.0.0 e superior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

A autenticação do portal cativo ou a autenticação ativa solicitam uma página de login e as credenciais do usuário são necessárias para que um host obtenha acesso à Internet.

O login único ou a autenticação passiva fornecem autenticação transparente a um usuário para recursos de rede e acesso à Internet sem inserir credenciais do usuário várias vezes. A autenticação de login único pode ser obtida pelo agente de usuário do Firepower ou pela autenticação do navegador NTLM. 

Note: Para a autenticação do portal cativo, o dispositivo deve estar no modo roteado.

Configurar

Etapa 1. Configurar o Firepower User Agent para logon único 

Este artigo explica como configurar o Firepower User Agent em uma máquina Windows:

Instalação e desinstalação do Sourcefire User Agent

Etapa 2. Integre o Firepower Management Center (FMC) ao User Agent

Faça login no Firepower Management Center, navegue até System > Integration > Identity Sources. Clique na opção Novo agente. Configure o endereço IP do sistema do Agente de usuário e clique no botão Adicionar.

Clique no botão Salvar para salvar as alterações. 

Etapa 3. Integrar o Firepower com o Ative Diretory

Etapa 3.1 Criar o território 

Faça login no FMC, navegue até System > Integration > Realm (Sistema > Integração > Domínio). Clique na opção Adicionar novo território

Nome e descrição: dê um nome/descrição para identificar realm de forma exclusiva. 

Tipo: AD

Domínio Primário do AD: Nome de domínio do Ative Diretory 

Nome de usuário do diretório: <nome de usuário>

Senha do diretório: <password>

DN base: DN de OU específico de domínio de onde o sistema iniciará uma pesquisa no banco de dados LDAP. 

DN do grupo: DN do grupo

Atributo do grupo: Membro

Este artigo ajuda a descobrir os valores de DN base e DN de grupo. 

Identificar atributos de objeto LDAP do Ative Diretory

Etapa 3.2 Adicionar o Servidor de Diretório

Clique no botão Adicionar para navegar para a próxima etapa e depois clique na opção Adicionar diretório

Nome do host/Endereço IP: configurar o endereço IP/nome do host do servidor AD.

Porta: 389 (número de porta LDAP do Ative Diretory )

Certificado de criptografia/SSL: (opcional) Para criptografar a conexão entre o servidor FMC e AD , consulte o

artigo: Verificação de objeto de autenticação no sistema FireSIGHT para autenticação do Microsoft AD sobre SSL/TLS

Clique no botão Test para verificar se o FMC consegue se conectar ao servidor AD.  

Etapa 3.3 Modificar a configuração do território 

Navegue até Configuração de território para verificar a configuração de integração do servidor AD e você pode modificar a configuração do AD.  

Etapa 3.4 Fazer download do banco de dados do usuário

Navegue até a opção User Download para buscar o banco de dados de usuários do servidor AD.  

Ative a caixa de seleção para baixar Baixar usuários e grupos e definir o intervalo de tempo sobre a frequência com que o FMC entra em contato com o AD para baixar o banco de dados de usuários. 

Selecione o grupo e coloque-o na opção Incluir para a qual deseja configurar a autenticação. 

Como mostrado na imagem, ative o estado AD:

Etapa 4.  Configurar a política de identidade

Uma política de identidade executa a autenticação do usuário. Se o usuário não autenticar, o acesso aos recursos da rede será recusado. Isso aplica o RBAC (Role-Based Access Control, controle de acesso baseado em função) à rede e aos recursos da sua organização.

Etapa 4.1 Portal cativo (autenticação ativa)    

 A autenticação ativa solicita o nome de usuário/senha no navegador para identificar uma identidade de usuário para permitir qualquer conexão.  O navegador autentica o usuário apresentando a página de autenticação ou autentica silenciosamente com a autenticação NTLM.  O NTLM usa o navegador para enviar e receber informações de autenticação. A autenticação ativa usa vários tipos para verificar a identidade do usuário. Os diferentes tipos de autenticação são:

  1. HTTP Basic: neste método, o navegador solicita as credenciais do usuário. 
  2. NTLM: o NTLM usa as credenciais da estação de trabalho do Windows e negocia-a com o Ative Diretory usando um navegador da Web. Você precisa ativar a autenticação NTLM no navegador. A autenticação de usuário acontece de forma transparente, sem solicitar credenciais. Ele oferece uma experiência de login única para os usuários. 
  3. Negociação HTTP:Nesse tipo, o sistema tenta autenticar usando NTLM, se ele falhar, o sensor usará o tipo de autenticação HTTP Basic como método de fallback e solicitará uma caixa de diálogo para as credenciais do usuário.
  4. Página Resposta HTTP: É semelhante ao tipo básico HTTP, no entanto, aqui o usuário é solicitado a preencher a autenticação em um formulário HTML que pode ser personalizado.  

Cada navegador tem uma maneira específica de habilitar a autenticação NTLM e, portanto, eles seguem as diretrizes do navegador para habilitar a autenticação NTLM.

Para compartilhar com segurança a credencial com o sensor roteado, é necessário instalar o certificado de servidor autoassinado ou o certificado de servidor com assinatura pública na política de identidade. 

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt

Navegue até Políticas > Controle de acesso > Identidade. Clique em Adicionar política e atribua um nome à política e salve-a.

Navegue até a guia Autenticação Ativa e, na opção Certificado do Servidor, clique no ícone (+) e carregue o certificado e a chave privada que você gerou na etapa anterior usando openSSL. 

Agora clique no botão Adicionar regra e atribua um nome à regra e escolha a ação como Autenticação ativa. Defina a zona de origem/destino, a rede de origem/destino para a qual deseja habilitar a autenticação do usuário. 

Selecione o território que você configurou na etapa anterior e o tipo de autenticação mais adequado ao seu ambiente. 

Configuração do ASA para o portal cativo 

 Para o módulo ASA Firepower, configure esses comandos no ASA para configurar o portal cativo. 

ASA(config)# captive-portal global port 1055

Certifique-se de que a porta do servidor, TCP 1055, esteja configurada na opção de porta da guia Autenticação ativa da política de identidade.

Para verificar as regras ativas e suas contagens de acertos, execute o seguinte comando.

ASA# show asp table classify domain captive-portal 

Note:  O comando do portal cativo está disponível no ASA versão 9.5(2) e posterior. 

Etapa 4.2 Início de Sessão Único (Autenticação Passiva)  

Na autenticação passiva, quando um usuário de domínio faz logon e pode autenticar o AD, o Agente de Usuário do Firepower pesquisa os detalhes do mapeamento de IP do Usuário nos logs de segurança do AD e compartilha essas informações com o Firepower Management Center (FMC). O FMC envia esses detalhes ao sensor para aplicar o controle de acesso. 

Clique no botão Adicionar regra e atribua um nome à regra e escolha a Ação como Autenticação Passiva. Defina a zona de origem/destino, a rede de origem/destino para a qual deseja habilitar a autenticação do usuário. 

Selecione o território configurado na etapa anterior e o tipo de autenticação que melhor se adapta ao seu ambiente, como mostrado nesta imagem. 

Aqui você pode escolher o método de recuo como autenticação ativa se a autenticação passiva não puder identificar a identidade do usuário

Etapa 5.  Configurar a política de controle de acesso  

Navegue até Políticas > Controle de acesso > Criar/editar uma política.

Clique na Política de identidade (canto superior esquerdo), escolha a Política de identificação configurada na etapa anterior e clique no botão OK, como mostrado nesta imagem. 

Clique no botão Adicionar regra para adicionar uma nova regra, navegue até Usuários e selecione os usuários para os quais a regra de controle de acesso será aplicada, como mostrado nesta imagem. Clique no botão OK e clique no botão Salvar para salvar as alterações. 

Etapa 6.  Implante a política de controle de acesso  

Navegue até a opção Implantar, escolha o dispositivo e clique na opção Implantar para enviar a alteração de configuração para o sensor. Monitore a Implantação da política a partir da opção Message Center Icon (ícone entre a opção Implantar e Sistema) e assegure-se de que a política deve ser aplicada com êxito, como mostrado nesta imagem.

Passo 7.  Monitorar eventos do usuário e eventos de conexões 

As sessões de usuário ativas no momento estão disponíveis na seção Análise > Usuários > Usuários.

O monitoramento da atividade do usuário ajuda a descobrir qual usuário está associado a qual endereço IP e como o usuário é detectado pelo sistema por autenticação ativa ou passiva. Análise > Usuários > Atividade do Usuário 

Navegue até Analysis > Connections > Events, para monitorar o tipo de tráfego que está sendo usado pelo usuário.

  

Verificar e solucionar problemas

Navegue até Analysis > Users para verificar a regra de autenticação/tipo de autenticação do usuário/mapeamento/acesso IP do usuário associada ao fluxo de tráfego. 

Verificar a conectividade entre o FMC e o agente de usuário (autenticação passiva)

O Firepower Management Center (FMC) usa a porta TCP 3306 para receber dados de log de atividade do usuário do Agente do usuário.

Para verificar o status do serviço do FMC, use este comando no FMC.

admin@firepower:~$ netstat -tan | grep 3306

Execute a captura de pacotes no FMC para verificar a conectividade com o Agente de usuário. 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

  

Navegue até Analysis > Users > User Activity para verificar se o FMC está recebendo os detalhes de login do usuário do User Agent. 

Verificar a conectividade entre o FMC e o Ative Diretory

O FMC usa a porta TCP 389 para recuperar o banco de dados de usuário da Ative Diretory.

Execute a captura de pacotes no FMC para verificar a conectividade com o Ative Diretory. 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

Certifique-se de que a credencial de usuário usada na configuração do território FMC tenha privilégio suficiente para buscar o banco de dados de usuário do AD. 

Verifique a configuração do território do FMC e certifique-se de que os usuários/grupos sejam baixados e que o tempo limite da sessão do usuário esteja configurado corretamente.

Navegue até Centro de Mensagens > Tarefas e certifique-se de que o download de tarefas de usuários/grupos tenha sido concluído com êxito, como mostrado nesta imagem.

Verifique a conectividade entre o sensor Firepower e o sistema final (autenticação ativa)

Para autenticação ativa, certifique-se de que o certificado e a porta estão configurados corretamente na política de identidade do FMC.Por predefinição, o sensor Firepower escuta na porta TCP 885 para autenticação ativa.

Verificar a configuração da política e a implantação da política

Certifique-se de que os campos Domínio, Tipo de autenticação, Agente de usuário e Ação estejam configurados corretamente na Política de identidade. 

Certifique-se de que a política de Identidade esteja corretamente associada à política de Controle de Acesso. 

Navegue até Centro de Mensagens > Tarefas e verifique se a Implantação de Políticas foi concluída com êxito. 

Analisar os registros de eventos 

O Connection e os eventos de Atividade do Usuário podem ser usados para diagnosticar se o login do usuário foi bem-sucedido ou não.Esses eventos

O também pode verificar qual regra de controle de acesso está sendo aplicada no fluxo.

Navegue até Análise > Usuário para verificar os logs de eventos do usuário.

Navegue até Analysis > Connection Events para verificar os eventos de conexão. 

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

  • Sunil Kumar
    Engenheiro do TAC da Cisco
  • Prashant Joshi
    Engenheiro do TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos