用单一登录&俘虏门户认证的Firepower工具配置激活目录集中

Introduction

本文描述俘虏门户认证(活动认证)和单一登录(被动认证)的配置。

Prerequisites

Requirements

Cisco 建议您了解以下主题：

• Sourcefire Firepower设备
• 虚拟设备型号
• 轻量级目录服务(LDAP)
• Firepower UserAgent

Components Used

本文档中的信息基于以下软件和硬件版本：

• Firepower管理中心(FMC)版本6.0.0和以上
• Firepower传感器版本6.0.0以上

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.

背景信息

俘虏门户认证或活动认证提示登录页，并且用户凭证对于主机是必需的获得互联网访问。

单一登录或被动认证多次提供无缝的认证给用户为网络资源和互联网访问，不用进入的用户凭证。单一登录认证可以由Firepower用户代理或NTLM浏览器认证达到。 

Note:对于俘虏门户认证，工具必须在路由的模式下。

Configure

步骤1.配置单一登录的Firepower用户代理 

此条款说明如何配置在Windows机器的Firepower用户代理：

Sourcefire用户代理的安装和卸载

步骤2.集成Firepower管理中心(FMC)与用户代理

登陆对Firepower管理中心，连接对系统>集成>身份来源。 Clickthe新代理人选项。配置用户代理系统的IP地址&点击Add按钮。

点击保存按钮保存更改。 

步骤3.集成Firepower与激活目录

步骤3.1创建领域 

登陆对FMC，连接对系统>集成>领域。Clickthe添加新的领域选项。 

名字&说明： 给予一个名字/说明独特识别领域。 

类型： AD

AD主域： 激活目录域名  

目录用户名： <username>

目录密码： <password>

基础DN ： 域或特定OU DN从系统将开始搜索在LDAP数据库的地方。 

组DN ： 组DN

组属性： 成员

此条款帮助您推测基础DN和组DN值。 

识别激活目录LDAP对象属性

步骤3.2添加目录服务器

点击Add按钮为了连接到下一步和尔后点击添加目录选项。 

主机名/IP地址： 配置IP地址/主机名- AD服务器。

端口： 389 (激活目录LDAP端口号)

Encryption/SSL认证： (可选)加密FMC & AD服务器之间的连接，请参见

条款： 认证对象的验证在FireSIGHT系统的Microsoft在SSL/TLS的AD认证的

点击Test按钮为了验证FMC是否能连接到AD服务器。  

步骤3.3修改领域配置 

连接对领域配置为了验证集成配置AD服务器和您能修改AD配置。  

步骤3.4下载用户数据库

连接对用户下载选项拿来从AD服务器的用户数据库。  

Enable (event)下载下载用户和组和定义关于FMC如何的时间间隔的复选框频繁地与AD联系下载用户数据库。 

选择组并且放它到您要配置认证的包括选项。 

如镜像所显示， enable (event) AD状态：

步骤4.配置身份策略

身份策略进行用户认证。如果用户不验证，对网络资源的访问被拒绝。这强制执行基于任务的访问控制(RBAC)对您的组织网络和资源。

步骤4.1俘虏门户(活动认证)    

 活动认证请求用户名/密码在浏览器识别允许的所有连接一个用户身份。 浏览器通过提交认证页验证用户或静静地验证与NTLM认证。 NTLM使用Web浏览器发送和获得认证信息。活动认证使用多种类型验证用户的身份。不同种类的认证是：

1. 基本的HTTP ： 在此方法，浏览器提示输入用户凭证。 
2. NTLM ： 使用Web浏览器， NTLM使用Windows工作站证件并且与激活目录协商它。您需要enable (event)在浏览器的NTLM认证。用户认证发生透明地，不用提示的证件。它为用户提供一个单一登录经验。 
3. HTTP协商：使用NTLM，在此类型，如果发生故障传感器然后将使用HTTP基本认证类型作为退路方法并且提示用户凭证的，一个对话框系统设法验证。
4. HTTP回应页： 这类似于HTTP基本类型，然而，这里提示用户填装认证以可以定制的HTML形式。  

每个浏览器有一个特定方式对enable (event) NTLM认证并且他们跟随浏览器指南为了enable (event) NTLM认证。

与路由的传感器安全地共享凭证，您需要在身份策略上安装任一个自已签署的服务器证明或公共签字的服务器证明。 

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
               

连接对策略>访问控制>身份。点击添加策略&给予名字策略并且保存它。

连接对活动Authentication选项&在服务器身份验证选项，点击图标(+)并且加载使用openssl，您在上一步生成的认证&专用密钥。 

现在请点击添加规则按钮&给予名字规则&选择动作作为活动认证。定义来源/目的地区域，来源/您想要对enable (event)用户认证的目的地网络。 

选择领域，您在上一步和认证类型配置了最适合于您的环境。 

俘虏门户的ASA配置 

 对于ASA Firepower模块，请配置这些on命令ASA为了配置俘虏门户。 

ASA(config)# captive-portal global port 1055

保证服务器端口， TCP 1055在身份策略的活动Authentication选项的端口选项被配置。

为了验证激活规则和他们的命中计数，请运行以下命令。

ASA# show asp table classify domain captive-portal 

Note: 俘虏门户命令是可用的在ASA版本9.5(2)和以上。 

步骤4.2单一登录(被动认证)  

在被动认证，当域用户登录和能验证AD时， Firepower用户代理轮询从AD安全日志的用户IP映射详细资料并且与Firepower管理中心(FMC)共享此信息。FMC发送这些详细资料到传感器为了强制执行访问控制。 

点击添加规则按钮&给予名字规则&选择动作作为被动认证。定义来源/目的地区域，来源/您想要对enable (event)用户认证的目的地网络。 

选择您在上一步和认证类型配置了最佳的套件您的环境，如此镜像所显示的领域。 

如果被动认证不能识别用户身份，您能选择后退方法作为活动认证。 

步骤5.配置访问控制策略  

连接到策略>访问控制>创建/编辑策略。

点击身份策略(左手边上面的角落)如此镜像所显示，选择您在上一步配置了并且点击OK按钮的识别策略。 

如此镜像所显示，点击添加规则按钮添加新规则，连接给用户并且选择访问控制规则将强制执行的用户。点击OK按钮并且点击保存按钮为了保存更改。 

步骤6.实施访问控制策略  

连接配置选项，选择设备和点击配置选项推进对传感器的配置更改。监控策略的配置从消息中心图标(之间图标配置和系统选项)选项的并且保证策略必须顺利地适用，如此镜像所显示。

步骤7.监控程序用户事件&连接事件 

当前活跃的用户会话是可用的在分析> Users > Users部分。

用户活动用户连结与推测的监控帮助哪个IP地址，并且如何是系统发现的用户由活动或被动认证。 分析> Users >用户活动 

连接对分析>连接> Events，监控用户使用的流量类型。

验证并且排除故障

连接对在orderto的分析> Users验证与通信流产生关联的用户认证/认证类型/用户IP映射/访问规则。 

验证FMC和用户代理(被动认证)之间的连接

Firepower管理中心(FMC)使用TCP端口3306，为了从用户代理接受用户活动日志数据。

为了验证FMC服务状态，请使用此in命令FMC。

admin@firepower:~$ netstat -tan | grep 3306

运行在FMC的信息包获取为了验证与用户代理的连接。 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

连接对分析> Users >用户活动为了验证FMC是否从用户代理接受用户登录详细资料。 

验证FMC和激活目录之间的连接

FMC使用TCP端口389为了用户数据库从激活目录。

运行在FMC的信息包获取验证与激活目录的连接。 

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

保证用于FMC领域配置的用户凭证有足够的特权拿来AD的用户数据库。 

验证FMC领域配置，并且保证下载用户/组，并且超时正确地配置用户会话。

连接对消息中心>任务并且保证任务用户/组下载成功地完成，如此镜像所显示。

验证Firepower传感器和结束系统(活动认证)之间的连接

对于活动认证，请保证认证和端口在FMC身份策略正确地被配置。默认情况下， Firepower传感器在TCP端口885细听活动认证。

验证策略配置&策略配置

保证领域，认证类型，用户代理和战场在身份策略正确地被配置。 

保证身份策略与访问控制策略正确地产生关联。 

连接对消息中心>任务并且保证策略配置成功地完成。 

分析事件日志 

连接和用户活动事件可以用于诊断是否用户登录是成功的。这些事件

能也验证哪个访问控制规则在流得到应用。

连接给检查用户事件日志的分析>用户。

连接对检查连接事件的分析>连接事件。 

Related Information

• Technical Support & Documentation - Cisco Systems