配置Active Directory与Firepower设备的集成,以进行单点登录和强制网络门户身份验证

下载选项

  • PDF     (1.4 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 7 月 10 日
文档 ID:200329

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍强制网络门户身份验证(主动身份验证)和单点登录(被动身份验证)的配置。

先决条件

要求

Cisco 建议您了解以下主题:

  • Sourcefire Firepower设备
  • 虚拟设备型号
  • 轻量级目录服务(LDAP)
  • Firepower用户代理

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Firepower管理中心(FMC)6.0.0版及更高版本
  • Firepower传感器版本6.0.0及以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

强制网络门户身份验证或主动身份验证提示登录页面和用户凭证是主机访问互联网所必需的。

单点登录或被动身份验证为用户提供网络资源和互联网访问的无缝身份验证,无需多次输入用户凭证。单点登录身份验证可通过Firepower用户代理或NTLM浏览器身份验证实现。 

注意:对于强制网络门户身份验证,设备必须处于路由模式。

配置

步骤1.为单点登录配置Firepower用户代理 

本文说明如何在Windows计算机中配置Firepower用户代理:

安装和卸载Sourcefire用户代理

第二步: 将Firepower管理中心(FMC)与用户代理集成

登录到Firepower管理中心,导航至“系统”>“集成”>“身份源”。单击“新建代理”选项。配置用户代理系统的IP地址并单击“添加”按钮。

单击“Save”按钮保存更改。 

步骤3.将Firepower与Active Directory集成

第3.1步创建领域 

登录到FMC,导航至System > Integration > Realm。单击“添加新领域”选项。 

名称和说明:提供名称/说明以唯一标识领域。 

类型:AD

AD主域:Active Directory的域名 

目录用户名: <username>

目录密码:<password>

基本DN:系统将从其开始在LDAP数据库中搜索的域或特定OU DN。 

组DN:组DN

组属性:成

本文帮助您了解基本DN和组DN值。 

识别Active Directory LDAP对象属性

第3.2步添加目录服务器

单击“添加”按钮以导航到下一步,然后单击“添加目录”选项。 

主机名/IP地址:配置AD服务器的IP地址/主机名。

端口:  389(Active Directory LDAP端口号)

加密/SSL证书:(可选)要加密FMC和AD服务器之间的连接,请参阅

文章:验证FireSIGHT系统上的身份验证对象以通过SSL/TLS进行Microsoft AD身份验证

单击Test按钮以验证FMC是否能连接到AD服务器。  

第3.3步修改领域配置 

导航至领域配置以验证AD服务器的集成配置,并且可以修改AD配置。  

第3.4步下载用户数据库

导航至用户下载选项以从AD服务器获取用户数据库。  

启用此复选框可下载下载用户和组,并定义有关FMC联系AD下载用户数据库的频率的时间间隔。 

选择组并将其放入要为其配置身份验证的Include选项中。 

如图所示,启用AD状态:

步骤4.配置身份策略

身份策略执行用户身份验证。如果用户不进行身份验证,则拒绝访问网络资源。这会对组织的网络和资源实施基于角色的访问控制(RBAC)。

第4.1步强制网络门户(主动身份验证)    

 主动身份验证要求在浏览器上输入用户名/密码,以标识允许任何连接的用户身份。 浏览器通过显示身份验证页面或以静默方式使用NTLM身份验证对用户进行身份验证。 NTLM使用Web浏览器发送和接收身份验证信息。主动身份验证使用各种类型来验证用户的身份。不同类型的身份验证包括:

  1. HTTP基本:在此方法中,浏览器会提示输入用户凭据。 
  2. NTLM:  NTLM使用Windows工作站凭据,并使用Web浏览器与Active Directory协商。您需要在浏览器中启用NTLM身份验证。用户身份验证以透明方式进行,不提示凭证。它为用户提供单点登录体验。 
  3. HTTP协商:在此类型中,系统尝试使用NTLM进行身份验证,如果失败,则传感器将使用HTTP基本身份验证类型作为回退方法,并会提示对话框提供用户凭证。
  4. HTTP响应页:这类似于HTTP基本类型,但是,此处会提示用户在可自定义的HTML表单中填写身份验证。  

每个浏览器都有启用NTLM身份验证的特定方法,因此它们遵循浏览器指南以启用NTLM身份验证。

要安全地与路由传感器共享凭证,您需要在身份策略中安装自签名服务器证书或公签名服务器证书。 

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt

导航至策略>访问控制>身份。单击添加策略并为策略指定名称并保存。

导航至Active Authentication项卡,在Server Certificate选项中,单击图标(+),然后上传您在上一步中使用openSSL生成的证书和私钥。 

现在,单击Add rule按钮并为Rule指定名称,然后选择该操作作为Active Authentication。定义要为其启用用户身份验证的源/目标区域、源/目标网络。 

选择在上一步中配置的领域和最适合您的环境的身份验证类型。 

强制网络门户的ASA配置 

 对于ASA Firepower模块,在ASA上配置这些命令以配置强制网络门户。 

ASA(config)# captive-portal global port 1055

确保在身份策略的Active Authentication选项卡的port选项中配置了服务器端口TCP 1055。

要验证活动规则及其命中计数,请运行以下命令。

ASA# show asp table classify domain captive-portal 

注意: ASA 9.5(2)版及更高版本中提供强制网络门户命令。 

第4.2步单点登录(被动身份验证)  

在被动身份验证中,当域用户登录并能够验证AD时,Firepower用户代理会从AD的安全日志轮询用户 — IP映射详细信息,并与Firepower管理中心(FMC)共享此信息。FMC将这些详细信息发送到传感器以实施访问控制。 

单击“添加规则”按钮,为规则指定名称,然后选择“操作”作为“被动身份验证”。定义要为其启用用户身份验证的源/目标区域、源/目标网络。 

选择在上一步中配置的领域(Realm)和最适合您环境的身份验证类型(如下图所示)。 

如果被动身份验证无法识别用户身份,则可以在此处选择回退方法作为主动身份验证。 

步骤5.配置访问控制策略  

导航至策略>访问控制>创建/编辑策略。

单击Identity Policy(左上角),选择您在上一步中配置的Identify Policy,然后单击OK按钮,如下图所示。 

单击“添加规则”按钮以添加新规则,导航至“用户”并选择访问控制规则将强制实施的用户,如下图所示。单击“OK(确定)”按钮,然后单击“Save(保存)”按钮以保存更改。 

步骤6.部署访问控制策略  

导航至Deploy选项,选择Device,然后单击Deploy选项,将配置更改推送到传感器。从消息中心图标(部署和系统选项之间的图标)选项监控策略的部署,并确保策略必须成功应用,如下图所示。

步骤7.监控用户事件和连接事件 

Analysis > Users > Users部分中提供了当前活动的用户会话。

用户活动监视有助于确定哪个用户与哪个IP地址关联,以及系统如何通过主动或被动身份验证检测用户。分析>用户>用户活动 

导航至Analysis > Connections > Events,以监控用户使用的流量类型。

  

验证与故障排除

导航至Analysis > Users,以验证与流量关联的用户身份验证/身份验证类型/用户 — IP映射/访问规则。 

验证FMC和用户代理(被动身份验证)之间的连接

Firepower管理中心(FMC)使用TCP端口3306,以便从用户代理接收用户活动日志数据。

要验证FMC服务状态,请在FMC中使用此命令。

admin@firepower:~$ netstat -tan | grep 3306

在FMC上运行数据包捕获,以验证与用户代理的连接。 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

  

导航至Analysis > Users > User Activity,以验证FMC是否正在从用户代理接收用户登录详细信息。 

检验FMC和Active Directory之间的连接

FMC使用TCP端口389从中检索用户数据库 Active Directory.

在FMC上运行数据包捕获,以验证与Active Directory的连接。 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

确保在FMC领域配置中使用的用户凭证具有获取AD用户数据库的足够权限。 

验证FMC领域配置,并确保下载用户/组并正确配置用户会话超时。

导航至消息中心>任务,确保任务用户/组下载成功完成,如下图所示。

验证Firepower传感器与终端系统之间的连接(主动身份验证)

对于主动身份验证,请确保证书和端口在FMC身份策略中配置正确。默认情况下,Firepower传感器在TCP端口885上侦听主动身份验证。

验证策略配置和策略部署

确保在身份策略中正确配置领域、身份验证类型、用户代理和操作字段。 

确保身份策略与访问控制策略正确关联。 

导航至消息中心>任务,确保策略部署成功完成。 

分析事件日志 

连接和用户活动事件可用于诊断用户登录是否成功。这些事件

还可以验证将哪个访问控制规则应用于流量。

导航到Analysis > User以检查用户事件日志。

导航至Analysis > Connection Events以检查连接事件。 

相关信息

TAC Authored

由思科工程师提供

  • Sunil Kumar
    思科TAC工程师
  • Prashant Joshi
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品