Introduction
Este documento descreve a configuração da autenticação do portal cativo (autenticação ativa) e do logon único (autenticação passiva).
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Dispositivos Firepower da Sourcefire
- Modelos de dispositivos virtuais
- LDAP (Light Weight Diretory Service)
- Firepower UserAgent
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Firepower Management Center (FMC) versão 6.0.0 e superior
- Firepower sensor versão 6.0.0 e superior
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Informações de Apoio
A autenticação do portal cativo ou a autenticação ativa solicitam uma página de login e as credenciais do usuário são necessárias para que um host obtenha acesso à Internet.
O login único ou a autenticação passiva fornecem autenticação transparente a um usuário para recursos de rede e acesso à Internet sem inserir credenciais do usuário várias vezes. A autenticação de login único pode ser obtida pelo agente de usuário do Firepower ou pela autenticação do navegador NTLM.
Note: Para a autenticação do portal cativo, o dispositivo deve estar no modo roteado.
Configurar
Etapa 1. Configurar o Firepower User Agent para logon único
Este artigo explica como configurar o Firepower User Agent em uma máquina Windows:
Instalação e desinstalação do Sourcefire User Agent
Etapa 2. Integre o Firepower Management Center (FMC) ao User Agent
Faça login no Firepower Management Center, navegue até System > Integration > Identity Sources. Clique na opção Novo agente. Configure o endereço IP do sistema do Agente de usuário e clique no botão Adicionar.
Clique no botão Salvar para salvar as alterações.

Etapa 3. Integrar o Firepower com o Ative Diretory
Etapa 3.1 Criar o território
Faça login no FMC, navegue até System > Integration > Realm (Sistema > Integração > Domínio). Clique na opção Adicionar novo território.
Nome e descrição: dê um nome/descrição para identificar realm de forma exclusiva.
Tipo: AD
Domínio Primário do AD: Nome de domínio do Ative Diretory
Nome de usuário do diretório: <nome de usuário>
Senha do diretório: <password>
DN base: DN de OU específico de domínio de onde o sistema iniciará uma pesquisa no banco de dados LDAP.
DN do grupo: DN do grupo
Atributo do grupo: Membro

Este artigo ajuda a descobrir os valores de DN base e DN de grupo.
Identificar atributos de objeto LDAP do Ative Diretory
Etapa 3.2 Adicionar o Servidor de Diretório
Clique no botão Adicionar para navegar para a próxima etapa e depois clique na opção Adicionar diretório.
Nome do host/Endereço IP: configurar o endereço IP/nome do host do servidor AD.
Porta: 389 (número de porta LDAP do Ative Diretory )
Certificado de criptografia/SSL: (opcional) Para criptografar a conexão entre o servidor FMC e AD , consulte o
artigo: Verificação de objeto de autenticação no sistema FireSIGHT para autenticação do Microsoft AD sobre SSL/TLS

Clique no botão Test para verificar se o FMC consegue se conectar ao servidor AD.
Etapa 3.3 Modificar a configuração do território
Navegue até Configuração de território para verificar a configuração de integração do servidor AD e você pode modificar a configuração do AD.
Etapa 3.4 Fazer download do banco de dados do usuário
Navegue até a opção User Download para buscar o banco de dados de usuários do servidor AD.
Ative a caixa de seleção para baixar Baixar usuários e grupos e definir o intervalo de tempo sobre a frequência com que o FMC entra em contato com o AD para baixar o banco de dados de usuários.
Selecione o grupo e coloque-o na opção Incluir para a qual deseja configurar a autenticação.

Como mostrado na imagem, ative o estado AD:

Etapa 4. Configurar a política de identidade
Uma política de identidade executa a autenticação do usuário. Se o usuário não autenticar, o acesso aos recursos da rede será recusado. Isso aplica o RBAC (Role-Based Access Control, controle de acesso baseado em função) à rede e aos recursos da sua organização.
Etapa 4.1 Portal cativo (autenticação ativa)
A autenticação ativa solicita o nome de usuário/senha no navegador para identificar uma identidade de usuário para permitir qualquer conexão. O navegador autentica o usuário apresentando a página de autenticação ou autentica silenciosamente com a autenticação NTLM. O NTLM usa o navegador para enviar e receber informações de autenticação. A autenticação ativa usa vários tipos para verificar a identidade do usuário. Os diferentes tipos de autenticação são:
- HTTP Basic: neste método, o navegador solicita as credenciais do usuário.
- NTLM: o NTLM usa as credenciais da estação de trabalho do Windows e negocia-a com o Ative Diretory usando um navegador da Web. Você precisa ativar a autenticação NTLM no navegador. A autenticação de usuário acontece de forma transparente, sem solicitar credenciais. Ele oferece uma experiência de login única para os usuários.
- Negociação HTTP:Nesse tipo, o sistema tenta autenticar usando NTLM, se ele falhar, o sensor usará o tipo de autenticação HTTP Basic como método de fallback e solicitará uma caixa de diálogo para as credenciais do usuário.
- Página Resposta HTTP: É semelhante ao tipo básico HTTP, no entanto, aqui o usuário é solicitado a preencher a autenticação em um formulário HTML que pode ser personalizado.
Cada navegador tem uma maneira específica de habilitar a autenticação NTLM e, portanto, eles seguem as diretrizes do navegador para habilitar a autenticação NTLM.
Para compartilhar com segurança a credencial com o sensor roteado, é necessário instalar o certificado de servidor autoassinado ou o certificado de servidor com assinatura pública na política de identidade.
Generate a simple self-signed certificate using openSSL -
Step 1. Generate the Private key
openssl genrsa -des3 -out server.key 2048
Step 2. Generate Certificate Signing Request (CSR)
openssl req -new -key server.key -out server.csr
Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
Navegue até Políticas > Controle de acesso > Identidade. Clique em Adicionar política e atribua um nome à política e salve-a.

Navegue até a guia Autenticação Ativa e, na opção Certificado do Servidor, clique no ícone (+) e carregue o certificado e a chave privada que você gerou na etapa anterior usando openSSL.

Agora clique no botão Adicionar regra e atribua um nome à regra e escolha a ação como Autenticação ativa. Defina a zona de origem/destino, a rede de origem/destino para a qual deseja habilitar a autenticação do usuário.
Selecione o território que você configurou na etapa anterior e o tipo de autenticação mais adequado ao seu ambiente.

Configuração do ASA para o portal cativo
Para o módulo ASA Firepower, configure esses comandos no ASA para configurar o portal cativo.
ASA(config)# captive-portal global port 1055
Certifique-se de que a porta do servidor, TCP 1055, esteja configurada na opção de porta da guia Autenticação ativa da política de identidade.
Para verificar as regras ativas e suas contagens de acertos, execute o seguinte comando.
ASA# show asp table classify domain captive-portal
Note: O comando do portal cativo está disponível no ASA versão 9.5(2) e posterior.
Etapa 4.2 Início de Sessão Único (Autenticação Passiva)
Na autenticação passiva, quando um usuário de domínio faz logon e pode autenticar o AD, o Agente de Usuário do Firepower pesquisa os detalhes do mapeamento de IP do Usuário nos logs de segurança do AD e compartilha essas informações com o Firepower Management Center (FMC). O FMC envia esses detalhes ao sensor para aplicar o controle de acesso.
Clique no botão Adicionar regra e atribua um nome à regra e escolha a Ação como Autenticação Passiva. Defina a zona de origem/destino, a rede de origem/destino para a qual deseja habilitar a autenticação do usuário.
Selecione o território configurado na etapa anterior e o tipo de autenticação que melhor se adapta ao seu ambiente, como mostrado nesta imagem.
Aqui você pode escolher o método de recuo como autenticação ativa se a autenticação passiva não puder identificar a identidade do usuário.

Etapa 5. Configurar a política de controle de acesso
Navegue até Políticas > Controle de acesso > Criar/editar uma política.
Clique na Política de identidade (canto superior esquerdo), escolha a Política de identificação configurada na etapa anterior e clique no botão OK, como mostrado nesta imagem.

Clique no botão Adicionar regra para adicionar uma nova regra, navegue até Usuários e selecione os usuários para os quais a regra de controle de acesso será aplicada, como mostrado nesta imagem. Clique no botão OK e clique no botão Salvar para salvar as alterações.

Etapa 6. Implante a política de controle de acesso
Navegue até a opção Implantar, escolha o dispositivo e clique na opção Implantar para enviar a alteração de configuração para o sensor. Monitore a Implantação da política a partir da opção Message Center Icon (ícone entre a opção Implantar e Sistema) e assegure-se de que a política deve ser aplicada com êxito, como mostrado nesta imagem.

Passo 7. Monitorar eventos do usuário e eventos de conexões
As sessões de usuário ativas no momento estão disponíveis na seção Análise > Usuários > Usuários.
O monitoramento da atividade do usuário ajuda a descobrir qual usuário está associado a qual endereço IP e como o usuário é detectado pelo sistema por autenticação ativa ou passiva. Análise > Usuários > Atividade do Usuário

Navegue até Analysis > Connections > Events, para monitorar o tipo de tráfego que está sendo usado pelo usuário.

Verificar e solucionar problemas
Navegue até Analysis > Users para verificar a regra de autenticação/tipo de autenticação do usuário/mapeamento/acesso IP do usuário associada ao fluxo de tráfego.
Verificar a conectividade entre o FMC e o agente de usuário (autenticação passiva)
O Firepower Management Center (FMC) usa a porta TCP 3306 para receber dados de log de atividade do usuário do Agente do usuário.
Para verificar o status do serviço do FMC, use este comando no FMC.
admin@firepower:~$ netstat -tan | grep 3306
Execute a captura de pacotes no FMC para verificar a conectividade com o Agente de usuário.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
Navegue até Analysis > Users > User Activity para verificar se o FMC está recebendo os detalhes de login do usuário do User Agent.
Verificar a conectividade entre o FMC e o Ative Diretory
O FMC usa a porta TCP 389 para recuperar o banco de dados de usuário da Ative Diretory.
Execute a captura de pacotes no FMC para verificar a conectividade com o Ative Diretory.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
Certifique-se de que a credencial de usuário usada na configuração do território FMC tenha privilégio suficiente para buscar o banco de dados de usuário do AD.
Verifique a configuração do território do FMC e certifique-se de que os usuários/grupos sejam baixados e que o tempo limite da sessão do usuário esteja configurado corretamente.
Navegue até Centro de Mensagens > Tarefas e certifique-se de que o download de tarefas de usuários/grupos tenha sido concluído com êxito, como mostrado nesta imagem.

Verifique a conectividade entre o sensor Firepower e o sistema final (autenticação ativa)
Para autenticação ativa, certifique-se de que o certificado e a porta estão configurados corretamente na política de identidade do FMC.Por predefinição, o sensor Firepower escuta na porta TCP 885 para autenticação ativa.
Verificar a configuração da política e a implantação da política
Certifique-se de que os campos Domínio, Tipo de autenticação, Agente de usuário e Ação estejam configurados corretamente na Política de identidade.
Certifique-se de que a política de Identidade esteja corretamente associada à política de Controle de Acesso.
Navegue até Centro de Mensagens > Tarefas e verifique se a Implantação de Políticas foi concluída com êxito.
Analisar os registros de eventos
O Connection e os eventos de Atividade do Usuário podem ser usados para diagnosticar se o login do usuário foi bem-sucedido ou não.Esses eventos
O também pode verificar qual regra de controle de acesso está sendo aplicada no fluxo.
Navegue até Análise > Usuário para verificar os logs de eventos do usuário.
Navegue até Analysis > Connection Events para verificar os eventos de conexão.
Informações Relacionadas