Active Directory-integratie met FirePOWER-
applicatie voor Single Sign-On en Captive Portal verificatie
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Achtergrondinformatie Configureren
Stap 1. Het configureren van de FirePOWER-gebruikersagent voor één aanmelding Stap 2. Integratie van het FireSIGHT Management Center (FMC) met gebruikersagent Stap 3. Integreren Firepower met Active Directory
Stap 3.1 Maak het antwoord Stap 3.2 Voeg de adresserver toe
Stap 3.3 De configuratie van het besturingssysteem wijzigen Stap 3.4 Downloadgebruikersdatabase
Stap 4. Het identiteitsbeleid configureren
Stap 5. Het beleid voor toegangscontrole configureren Stap 6. Voer het toegangscontrolebeleid in
Stap 7. Controleer gebruikersgebeurtenissen en -verbindingen Probleemoplossing controleren
Controleer de connectiviteit tussen FMC en gebruikersagent (passieve verificatie) Controleer de connectiviteit tussen FMC en actieve map
Controleer de Connectiviteit tussen Firepower Sensor en End-systeem (actieve verificatie) Controleer de beleidsconfiguratie en -beleidsimplementatie
De evenementen analyseren Gerelateerde informatie
Inleiding
Dit document beschrijft de configuratie van de interne poortverificatie (actieve verificatie) en de single-aanmelding (passieve verificatie).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Sourcefire-FirePOWER-apparaten
●
Virtuele apparaatmodellen
●
Lichtgewicht Map Service (LDAP)
●
Firepower User Agent
●
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Firepower Management Center (FMC) versie 6.0.0 en hoger
●
Firepower sensor versie 6.0.0 en hoger
●
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Achtergrondinformatie
Captive Portal Authentication or Active Verification leidt tot een inlogpagina en de gebruikersreferenties zijn vereist voor een host om de toegang tot internet te krijgen.
Single-aanmelding of Passive Verificatie biedt een gebruiker naadloze authenticatie voor
netwerkbronnen en internettoegang zonder dat de gebruiker meerdere malen toegang heeft. De single-aanmelding-verificatie kan worden bereikt door een Firepower user agent of een NTLM browser verificatie.
Opmerking: Voor Captive Portal Verificatie moet het apparaat in de routemodus staan.
Configureren
Stap 1. Het configureren van de FirePOWER-gebruikersagent voor één aanmelding
Dit artikel legt uit hoe u Firepower User Agent in een Windows-machine kunt configureren:
Installatie en uninstallatie van Sourcefire-gebruikersagent
Stap 2. Firepower Management Center (FMC) integreren met gebruikersagent
Meld u aan bij FireSIGHT Management Center, navigeer naar Systeem > Integratie > Identity Bronnen. Klik op de optie New Agent. Configureer het IP-adres van het systeem van
gebruikersagent en klik op de knop Toevoegen.
Klik op de knop Opslaan om de wijzigingen op te slaan.
Stap 3. Integreer Firepower met Active Directory
Stap 3.1 Maak het antwoord
Meld u aan bij het FMC en navigeer naar Systeem > Integratie > Realm. Klik op de optie Nieuw bereik toevoegen.
Naam en beschrijving: Geef een naam/beschrijving om het veld uniek te identificeren.
Type: AD
AD Primair Domein: Domain Name of Active Directory Gebruikersnaam map: <gebruikersnaam>
Wachtwoord voor map: <wachtwoord>
Base DN: Domain of Specific OU DN vanaf waar het systeem een zoekopdracht in LDAP database start.
Groep DN: groep DN Groepskenmerk: Lid
Dit artikel helpt je om de waarden van de DN-basis en groep DNA te achterhalen.
Identificeer actieve bestandsindelingen voor map Stap 3.2 Voeg de adresserver toe
Klik op de knop Add om naar de volgende stap te bladeren en klik vervolgens op de optie Add folder.
Hostname/IP Adres: stel het IP adres/hostname van de AD server in.
Poorten: 389 (Active Directory LDAP poortnummer )
Encryption/SSL-certificaat: (optioneel) Raadpleeg het gedeelte Encryption/SSL-server dat de verbinding tussen FMC en AD-server versleutelt
Artikel: Verificatie van verificatieobject via FireSIGHT System voor Microsoft AD-verificatie via SSL/TLS
Klik op de knop Test om te controleren of FMC in staat is verbinding te maken met de AD server.
Stap 3.3 De configuratie van het besturingssysteem wijzigen
Navigeer naar Realm Configuration om de integratieconfiguratie van de AD-server te controleren en u kunt de AD-configuratie wijzigen.
Stap 3.4 Downloadgebruikersdatabase
Navigeer naar User Download optie om de gebruikersdatabase van de AD server te halen.
Schakel het aanvinkvakje in om gebruikers en groepen van downloads te downloaden en definieer het tijdsinterval over hoe vaak FMC contact opneemt met AD om gebruikersdatabase te
downloaden.
Selecteer de groep en plaats deze in de optie Inclusief waarvoor u de verificatie wilt configureren.
Schakel de AD-staat in zoals in de afbeelding:
Stap 4. Het identiteitsbeleid configureren
Een identiteitsbeleid voert gebruikersauthenticatie uit. Als de gebruiker niet echt verklaart, wordt de toegang tot de netwerkbronnen geweigerd. Dit dwingt Rol-Based Access Control (RBAC) op het netwerk en de bronnen van uw organisatie.
Stap 4.1 Captive Portal (actieve verificatie)
Actieve Verificatie vraagt om gebruikersnaam/wachtwoord in de browser om een
gebruikersidentiteit te identificeren voor het toestaan van een verbinding. browser authenticeert gebruiker door authenticatie pagina aan te bieden of authenticeert in stilte met NTLM
authenticatie. NTLM gebruikt de webbrowser om verificatieinformatie te verzenden en ontvangen.
De actieve verificatie gebruikt verschillende typen om de identiteit van de gebruiker te controleren.
Verschillende typen verificatie zijn:
HTTP Basic: In deze methode, vraagt de browser om gebruikersreferenties.
1.
NTLM: NTLM gebruikt Windows-werkstationaanmeldingsgegevens en bespreekt dit met een actieve map op een webbrowser. U moet de NTLM-verificatie in de browser inschakelen.
Gebruikersverificatie gebeurt op een transparante wijze zonder aanmeldingsgegevens te vragen. Het biedt één aanmelding ervaring voor gebruikers.
2.
HTTP-onderhandeling:In dit type probeert het systeem het gebruik van NTLM voor echt te maken als deze faalt, dan gebruikt de sensor HTTP Basic-verificatietype als back-upmethode en vraagt hij een dialoogvenster om gebruikersreferenties.
3.
HTTP-responspagina: Dit is vergelijkbaar met het HTTP-basistype, maar hier wordt de gebruiker gevraagd de authenticatie in een HTML-formulier in te vullen dat kan worden aangepast.
4.
Elke browser heeft een specifieke manier om de NTLM-verificatie mogelijk te maken en daarom volgen ze de browser-richtlijnen om de NTLM-verificatie mogelijk te maken.
Om de geloofwaardigheid met de routesensor te delen, moet u een zelf-ondertekend
servercertificaat of een door de overheid ondertekend servercertificaat in het identiteitsbeleid installeren.
Generate a simple self-signed certificate using openSSL -
Step 1. Generate the Private key
openssl genrsa -des3 -out server.key 2048
Step 2. Generate Certificate Signing Request (CSR)
openssl req -new -key server.key -out server.csr
Step 3. Generate the self-signed Certificate.
openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt
Navigeren in op beleid > Toegangsbeheer > Identity. Klik op het beleid toevoegen en geef een naam aan het beleid en bewaar het.
navigeren naar het tabblad Actieve verificatie en in de optie servercertificaat, klikt u op het pictogram (+) en uploadt u de certificaat- en privé-toets die u in de vorige stap hebt gegenereerd met behulp van OpenSSL.
Klik nu op de knop Toevoegen en geef een naam aan de regel en kies de actie als actieve verificatie. Defineer de bron/doelzone, bron/doelnetwerk waarvoor u de gebruikersverificatie wilt inschakelen.
Selecteer het Realm, dat u in de vorige stap hebt ingesteld en het authenticatietype dat het best op uw omgeving aansluit.
ASA-configuratie voor portal
Voor ASA Firepower module, Configureer deze opdrachten in de ASA om het gevangen portal te configureren.
ASA(config)# captive-portal global port 1055
Verzeker dat de serverpoort, TCP 1055 is geconfigureerd in het tabblad Actieve verificatie van de poortoptie van het identiteitsbeleid.
Om de actieve regels en hun slagtellingen te verifiëren, ren volgende opdracht.
ASA# show asp table classify domain captive-portal
Opmerking: Opdrachten in een portal zijn beschikbaar in ASA versie 9.5(2) en hoger.
Stap 4.2 Eenvoudig aanmelding (passieve verificatie)
Bij passieve verificatie, wanneer een domeingebruiker logt en de AD voor authenticatie kan authenticeren, poilt de Firepower User Agent de User-IP mapping details uit de
beveiligingsbestanden van AD en deelt deze informatie met Firepower Management Center (FMC). Het FMC stuurt deze gegevens naar de sensor om de toegangscontrole af te dwingen.
Klik op de knop Toevoegen en geef een naam aan de regel en kies de Actie als passieve
verificatie. Defineer de bron/doelzone, bron/doelnetwerk waarvoor u de gebruikersverificatie wilt inschakelen.
Selecteer Realm dat u in de vorige stap hebt ingesteld en authenticatietype dat uw omgeving het beste aanpast, zoals in deze afbeelding wordt getoond.
Hier kunt u de fall-back methode als actieve authenticatie kiezen als passieve authenticatie de gebruikersidentiteit niet kan identificeren.
Stap 5. Het beleid voor toegangscontrole configureren
Navigeer naar beleid > Toegangsbeheer > Maak/Bewerk een beleid.
Klik op de hoek van het identiteitsbeleid (linker kant boven), kies het beleid identificeren dat u in de vorige stap hebt ingesteld en klik op de knop OK, zoals in deze afbeelding.
Klik op de knop Toevoegen om een nieuwe regel toe te voegen, naar gebruikers te navigeren en de gebruikers te selecteren waarvoor de toegangscontroleregel zal afdwingen, zoals in deze afbeelding wordt weergegeven. Klik op de knop OK en klik op de knop Opslaan om de wijzigingen op te slaan.
Stap 6. Voer het toegangscontrolebeleid in
navigeren om de optie implementeren in te stellen, kies het apparaat en klik op de optie
implementeren om de configuratie van de sensor aan te passen. Controleer de implementatie van beleid vanuit het pictogram Message Center (pictogram tussen Deploy en systeemoptie) en zorg ervoor dat het beleid met succes wordt toegepast, zoals in deze afbeelding wordt getoond.
Stap 7. Controleer gebruikersgebeurtenissen en -verbindingen
De momenteel actieve gebruikerssessies zijn beschikbaar in de sectie Analyse > Gebruikers >
Gebruikers.
Controle van de gebruikersactiviteit helpt om uit te zoeken welke gebruiker heeft geassocieerd met welk IP-adres en hoe de gebruiker door het systeem wordt gedetecteerd door actieve of passieve authenticatie. Analyse > Gebruikers > Gebruiker Activiteiten
Navigeer aan Analyse > Aansluitingen > Gebeurtenissen, om het type van verkeer te controleren dat door de gebruiker wordt gebruikt.
Probleemoplossing controleren
Navigeer naar Analyse > Gebruikers om de gebruikersverificatie/Verificatietype/User-IP mapping/Access-regel die aan de verkeersstroom is gekoppeld te controleren.
Controleer de connectiviteit tussen FMC en gebruikersagent (passieve verificatie)
Firepower Management Center (FMC) gebruikt TCP-poort 3306 om gebruikersactiviteitsloggegevens van de gebruikersagent te ontvangen.
Gebruik deze opdracht in het VCC om de FMC-servicestatus te controleren.
admin@firepower:~$ netstat -tan | grep 3306
Start pakketvastlegging op het FMC om de connectiviteit met de gebruikersagent te controleren.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306
Navigeer naar Analyse > Gebruikers > gebruikersactiviteit om te controleren of het FMC inloggegevens van de gebruikersagent ontvangt.
Controleer de connectiviteit tussen FMC en actieve map
FMC gebruikt TCP poort 389 om gebruikersdatabase uit de Actieve folder.
Start pakketvastlegging op het FMC om de connectiviteit met de actieve map te controleren.
admin@firepower:~$ sudo tcpdump -i eth0 -n port 389
Zorg ervoor dat de gebruikersinterface die in de configuratie van FMC Realm wordt gebruikt, voldoende rechten heeft om de gebruikersdatabase van de AD te halen.
Controleer de VMC-configuratie en zorg ervoor dat de gebruikers/groepen worden gedownload en de gebruikerssessietijd correct wordt ingesteld.
Navigeer naar Berichtcentrum > Taken en zorg ervoor dat de downloads van de taakgebruikers/groepen voltooid zijn, zoals in deze afbeelding wordt weergegeven.
Controleer de Connectiviteit tussen Firepower Sensor en End-systeem (actieve verificatie)
Voor actieve authenticatie, zorg er dan voor dat het certificaat en de poort correct zijn ingesteld in FMC Identity beleid.Standaard luistert de Firepower sensor op TCP poort 885 voor actieve
authenticatie.
Controleer de beleidsconfiguratie en -beleidsimplementatie
Zorg ervoor dat de velden Realm, Verificatie, Gebruiker en Actie correct zijn ingesteld in Identity Policy.
Zorg ervoor dat het identiteitsbeleid correct in verband wordt gebracht met het toegangscontrolebeleid.
Blader naar berichtcentrum > Taken en zorg ervoor dat de beleidsimplementaties zijn voltooid.
De evenementen analyseren
De verbinding en de gebruikersactiviteitsgebeurtenissen kunnen worden gebruikt om te bepalen of de inlognaam van de gebruiker geslaagd is of niet. Deze gebeurtenissen
kan ook controleren welke toegangscontroleregel op de stroom wordt toegepast.
Blader naar Analyse > Gebruiker om de logboeken van de gebruikersgebeurtenissen te controleren.
Navigeer naar Analyse > verbindingsgebeurtenissen om de verbindingsgebeurtenissen te controleren.
Gerelateerde informatie
Technische ondersteuning en documentatie – Cisco Systems
●
