配置激活目录集中用单一登录&俘虏门户验证的Firepower设备
目录
简介
本文描述俘虏门户验证(活动验证)和单一登录(被动验证)的配置。
先决条件
要求
Cisco 建议您了解以下主题:
- Sourcefire Firepower设备
- 虚拟设备型号
- 轻量级目录服务(LDAP)
- Firepower UserAgent
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Firepower管理中心(FMC)版本6.0.0和以上
- Firepower传感器版本6.0.0以上
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
俘虏门户验证或活动验证提示登录页,并且用户凭证要求为了主机能获得互联网访问。
单一登录或被动验证提供无缝的验证给用户为网络资源和互联网访问,无需多次输入用户凭证。单一登录验证可以由Firepower用户代理或NTLM浏览器认证达到。
配置
步骤1.配置单一登录的Firepower用户代理
此条款说明如何配置在Windows机器的Firepower用户代理:
步骤2.集成Firepower管理中心(FMC)与用户代理
登陆对Firepower管理中心,导航对系统>集成>标识来源。 Clickthe新代理人选项。配置用户代理系统的IP地址&点击Add按钮。
点击保存按钮保存更改。
步骤3.集成与活动目录的Firepower
步骤3.1创建领域
登陆对FMC,导航对系统>集成>领域。Clickthe添加新的领域选项。
名称&说明: 给予名称/说明独特识别领域。
类型: AD
AD主域: 活动目录域名
目录用户名: <username>
目录密码: <password>
基础DN : 域或特定从的OU DN系统将开始在LDAP数据库的地方一搜索。
组DN : 组DN
组属性: 成员
此条款帮助您推测基础DN和分组DN值。
步骤3.2添加目录服务器
点击Add按钮为了导航到下一步和尔后单击添加目录选项。
主机名/IP地址: 配置AD服务器的IP地址/主机名。
波尔特: 389 (活动目录LDAP端口号)
Encryption/SSL证书: (可选)加密FMC & AD服务器之间的连接,参考
条款: 验证对象的验证在FireSIGHT系统的Microsoft在SSL/TLS的AD验证的
如果FMC能连接到AD服务器,请点击Test按钮为了验证。
步骤3.3修改领域配置
导航对领域配置为了验证AD服务器的集成配置,并且您能修改AD配置。
步骤3.4下载用户数据库
导航对用户下载选项拿来从AD服务器的用户数据库。
使复选框下载下载用户和组和定义关于FMC如何的时间间隔频繁地与AD联系下载用户数据库。
选择组并且放它到您要配置验证的包括选项。
如镜像所显示,请启用AD状态:
步骤4.配置标识策略
标识策略进行用户认证。如果用户不验证,对网络资源的访问拒绝。这强制执行基于任务的访问控制(RBAC)对您的组织网络和资源。
步骤4.1俘虏门户(活动验证)
活动验证请求用户名/密码在浏览器识别允许的所有连接一用户标识。 浏览器通过提交验证页验证用户或静静地验证与NTLM验证。 NTLM使用Web浏览器发送和获得认证信息。活动验证使用多种类型验证用户的标识。不同种类的验证是:
- 基本的HTTP : 在此方法,浏览器提示输入用户凭证。
- NTLM : 使用Web浏览器, NTLM使用Windows工作站凭证并且协商它与活动目录。您需要启用在浏览器的NTLM验证。用户认证发生透明地,不用提示的凭证。它为用户提供一单一登录体验。
- HTTP协商:使用NTLM,在此类型,如果发生故障传感器然后将使用HTTP基本认证类型作为fallback方法并且提示符用户凭证的,一个对话框系统设法验证。
- HTTP响应页: 这类似于HTTP基本类型,然而,此处提示用户填装验证以可以定制的HTML形式。
每个浏览器有一个特定方式启用NTLM验证并且他们遵从浏览器指南为了启用NTLM验证。
安全地共享凭证用已路由传感器,您需要安装任一自已签署的服务器证书或公共签字的服务器证书在标识策略。
Generate a simple self-signed certificate using openSSL -
Step 1. Generate the Private key
openssl genrsa -des3 -out server.key 2048
Step 2. Generate Certificate Signing Request (CSR)
openssl req -new -key server.key -out server.csr
Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
导航对策略>访问控制>标识。点击添加策略&给予名称对策略并且保存它。
导航对活动Authentication选项&在服务器证书选项,点击图标(+)并且上传使用openssl,您在上一步生成的证书&专用密钥。
现在请单击添加规则按钮&给予名称对规则&选择操作作为活动验证。定义来源/目的地区域,来源/目的地网络您要启用用户认证。
选择领域,您在上一步和认证类型配置最适合于您的环境。
俘虏门户的ASA配置
对于ASA Firepower模块,请配置这些on命令ASA为了配置俘虏门户。
ASA(config)# captive-portal global port 1055
保证服务器端口, TCP 1055在标识策略的活动Authentication选项的端口选项配置。
为了验证激活规则和他们的命中数计数,请运行跟随的命令。
ASA# show asp table classify domain captive-portal
步骤4.2单一登录(被动验证)
在被动验证,当域用户登录并且能验证AD时, Firepower用户代理轮询从AD安全日志的用户IP映射详细信息并且共享与Firepower管理中心(FMC)的此信息。FMC发送这些详细信息到传感器为了强制执行访问控制。
点击添加规则按钮&给予名称对规则&选择操作作为被动验证。定义来源/目的地区域,来源/目的地网络您要启用用户认证。
选择您在上一步和认证类型配置最好的套件您的环境,如此镜像所显示的领域。
如果被动验证不能识别用户标识,您能选择后退方法作为活动验证。
步骤5.配置访问控制策略
导航到策略>访问控制>创建/编辑策略。
点击标识策略(左手边上面的角落)如此镜像所显示,选择您在上一步配置并且点击OK按钮的识别策略。
如此镜像所显示,点击添加规则按钮添加新规则,导航给用户并且选择访问控制规则将强制执行的用户。点击OK按钮并且点击保存按钮为了保存更改。
步骤6.实施访问控制策略
导航部署选项,选择设备和点击部署选项推送对传感器的配置更改。监控策略的部署从消息中心图标(之间图标部署和系统选项)选项的并且保证策略必须顺利地应用,如此镜像所显示。
步骤7.箴言报用户事件&连接事件
当前活跃的用户会话是可用的在分析> Users > Users部分。
用户活动用户关联与推测的监听帮助哪个IP地址,并且如何是系统检测的用户由活动或被动验证。 分析> Users >用户活动
导航对分析>连接> Events,监控用户使用的流量类型。
验证与故障排除
导航对在orderto的分析> Users验证用户认证/认证类型/用户IP映射/访问规则关联与通信流。
验证FMC和用户代理(被动验证)之间的连接
Firepower管理中心(FMC)使用TCP端口3306,为了接收用户从用户代理的活动日志数据。
为了验证FMC服务状态,请使用此in命令FMC。
admin@firepower:~$ netstat -tan | grep 3306
运行FMC的数据包捕获为了验证与用户代理的连接。
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
导航对分析> Users >用户活动为了验证FMC是否接收从用户代理的用户登录详细信息。
验证FMC和活动目录之间的连接
FMC使用TCP端口389为了用户数据库从活动目录。
运行FMC的数据包捕获验证与活动目录的连接。
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
保证用于FMC领域配置的用户凭证有足够的权限拿来AD的用户数据库。
验证FMC领域配置,并且保证用户/组下载,并且用户会话超时正确地配置。
导航对消息中心>任务并且保证任务用户/组下载成功地完成,如此镜像所显示。
验证Firepower传感器和终端系统(活动验证)之间的连接
对于活动验证,请保证证书和端口在FMC标识策略正确地配置。默认情况下, Firepower传感器在活动验证的TCP端口885侦听。
验证策略配置&策略部署
保证领域、认证类型、用户代理和战场在标识策略正确地配置。
保证标识策略正确地关联与访问控制策略。
导航对消息中心>任务并且保证策略部署成功地完成。
分析事件日志
连接和用户活动事件可以用于诊断是否用户登录是成功的。这些事件
能也验证访问控制规则在流得到应用。
导航给检查用户事件日志的分析>用户。
导航对检查连接事件的分析>连接事件。
反馈