配置Active Directory与Firepower设备集成，以进行单点登录&；强制网络门户身份验证

下载选项

PDF (2.1 MB)
在各种设备上使用 Adobe Reader 查看

已更新: 2023 年 6 月 7 日

文档 ID:200329

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍强制网络门户身份验证（主动身份验证）和单点登录（被动身份验证）的配置。

先决条件

要求

Cisco 建议您了解以下主题：

Sourcefire Firepower设备
虚拟设备型号
轻量级目录服务(LDAP)
Firepower用户代理

使用的组件

本文档中的信息基于以下软件和硬件版本：

Firepower管理中心(FMC) 6.0.0版及更高版本
Firepower传感器6.0.0及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

强制网络门户身份验证或主动身份验证会提示登录页，并且主机需要用户凭证才能获得互联网访问权限。

单点登录或被动身份验证为用户提供网络资源和互联网访问的无缝身份验证，无需多次出现用户凭证。单点登录身份验证可通过Firepower用户代理或NTLM浏览器身份验证来实现。

注意：对于强制网络门户身份验证，设备必须处于路由模式。

配置

步骤1:配置单点登录的Firepower用户代理

本文说明如何在Windows计算机中配置Firepower用户代理：

安装和卸载Sourcefire用户代理

第二步：将Firepower管理中心(FMC)与用户代理集成

登录Firepower管理中心，导航到系统>集成>身份源。单击New Agent选项。配置User Agent系统的IP地址并单击Add按钮。

单击Save按钮保存更改。

Integrate_User_Agent

第三步：将Firepower与Active Directory集成

第3.1步创建领域

登录FMC，导航到系统>集成>领域。点击添加新领域选项。

名称和说明：提供名称/说明以唯一标识领域。

类型：AD

AD主域：Active Directory的域名

目录用户名： <username>

目录口令：<password>

Base DN：系统从LDAP数据库中开始搜索的域或特定OU DN。

组DN：组DN

组属性：成员

GUI

本文可帮助您确定基本DN和组DN值。

确定Active Directory LDAP对象属性

第3.2步添加目录服务器

单击Add按钮以导航到下一步，然后单击Add directory选项。

主机名/IP地址：配置AD服务器的IP地址/主机名。

端口：389（Active Directory LDAP端口号）

加密/SSL证书(Encryption/SSL Certificate)：（可选）要加密FMC与AD服务器之间的连接，请参阅

文章：通过SSL/TLS验证Microsoft AD身份验证的FireSIGHT系统上的身份验证对象

添加目录

单击Test按钮以验证FMC是否可以连接到AD服务器。

第3.3步修改领域配置

导航到领域配置以验证AD服务器的集成配置，您可以修改AD配置。

第3.4步下载用户数据库

导航到用户下载选项以从AD服务器获取用户数据库。

启用此复选框可下载Download users and groups并定义有关FMC联系AD下载用户数据库的频率的时间间隔。

选择该组并将其放入要为其配置身份验证的Include选项中。

GUI

如图所示，启用AD状态：

GUI

步骤4.配置身份策略

身份策略执行用户身份验证。如果用户未进行身份验证，则拒绝访问网络资源。这会对组织的网络和资源实施基于角色的访问控制(RBAC)。

第4.1步强制网络门户（主动身份验证）

Active Authentication在浏览器中请求用户名/密码，以标识允许任何连接的用户身份。浏览器使用身份验证页面对用户进行身份验证，或使用NTLM身份验证进行静默身份验证。 NTLM使用Web浏览器发送和接收身份验证信息。主动身份验证使用各种类型来验证用户的身份。身份验证的不同类型包括：

HTTP Basic：在此方法中，浏览器将提示输入用户凭证。
NTLM： NTLM使用Windows工作站凭据，并通过Web浏览器与Active Directory进行协商。您需要在浏览器中启用NTLM身份验证。用户身份验证以透明方式进行，不提示输入凭证。它为用户提供单点登录体验。
HTTP协商：在此类型中，系统尝试使用NTLM进行身份验证。如果失败，则传感器使用HTTP Basic身份验证类型作为回退方法，并提示一个用户凭证对话框。
“HTTP响应”页面：这类似于HTTP基本类型，但是，此处提示用户将身份验证填写在可自定义的HTML表单中。

每个浏览器都有启用NTLM身份验证的特定方式，因此它们遵循浏览器指南以启用NTLM身份验证。

要安全地与路由的传感器共享凭证，需要在身份策略中安装自签名服务器证书或公开签名的服务器证书。

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt

导航到策略>访问控制>身份。单击Add Policy（添加策略），为策略指定名称并保存。

Identity_Policy

导航到主动身份验证选项卡，在服务器证书选项中，点击图标(+)，并上传在上一步用openSSL生成的证书和私钥。

GUI

现在请单击Add rule按钮并为规则指定名称，然后选择Active Authentication作为操作。定义要为其启用用户身份验证的源/目标区域、源/目标网络。

选择您在上一步配置的Realm和最适合您的环境的身份验证类型。

强制网络门户的ASA配置

对于ASA Firepower模块，请在ASA上配置这些命令以配置强制网络门户。

ASA(config)# captive-portal global port 1055

确保在Identity Policy Active Authentication 选项卡的port 选项中配置了服务器端口TCP 1055。

要验证活动规则及其命中计数，请运行以下命令：

ASA# show asp table classify domain captive-portal

注意：强制网络门户命令在ASA版本9.5(2)及更高版本中可用。

第4.2步单点登录（被动身份验证）

在被动身份验证中，当域用户登录且能够对AD进行身份验证时，Firepower用户代理从AD的安全日志轮询用户-IP映射详细信息，并与Firepower管理中心(FMC)共享此信息。FMC将这些详细信息发送到传感器以实施访问控制。

单击Add rule按钮并为规则命名，然后选择Action作为Passive Authentication。定义要为其启用用户身份验证的源/目标区域、源/目标网络。

选择您在上一步配置的领域，以及最适合您的环境的身份验证类型，如下图所示。

此处，如果被动身份验证无法识别用户身份，则可以选择回退方法作为主动身份验证。

GUI

步骤5.配置访问控制策略

导航到策略>访问控制>创建/编辑策略。

单击Identity Policy(左上角)，选择您在上一步中配置的身份策略，然后单击OK按钮，如下图所示。

GUI

单击Add rule按钮以添加新规则。导航到用户，选择访问控制规则对其实施的用户，如此图中所示。单击OK并单击Save以保存更改。

GUI

步骤6.部署访问控制策略

导航到部署选项，选择设备，然后单击部署选项将配置更改推送到传感器。通过消息中心图标（部署和系统选项之间的图标）选项监控策略的部署，并确保策略必须成功应用，如下图所示。

GUI

第7步：监控用户事件和连接事件

当前活动的用户会话在分析>用户>用户部分中可用。

用户活动监控有助于确定哪个用户与哪个IP地址相关联，以及系统如何通过主动或被动身份验证检测用户。 分析>用户>用户活动

User_Activity

导航到分析>连接>事件，监控用户使用的流量类型。

GUI

验证与故障排除

导航到分析>用户以验证与数据流关联的用户身份验证/身份验证类型/用户-IP映射/访问规则。

验证FMC和用户代理之间的连接（被动身份验证）

Firepower管理中心(FMC)使用TCP端口3306，以便从用户代理接收用户活动日志数据。

要验证FMC服务状态，请在FMC中使用此命令。

admin@firepower:~$ netstat -tan | grep 3306

在FMC上运行数据包捕获，以验证与用户代理的连接。

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

导航到分析>用户>用户活动以验证FMC是否从用户代理接收用户登录详细信息。

验证FMC和Active Directory之间的连接

FMC使用TCP端口389从Active directory检索用户数据库。

在FMC上运行数据包捕获以验证与Active Directory的连接。

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

确保FMC领域配置中使用的用户凭证具有足够的权限来获取AD用户数据库。

验证FMC领域配置，确保用户/组已下载且用户会话超时配置正确。

导航到消息中心>任务，确保任务用户/组下载成功完成（如下图所示）。

验证Firepower传感器和终端系统之间的连接（主动身份验证）

对于主动身份验证，请确保在FMC身份策略中正确配置证书和端口。默认情况下，Firepower传感器在TCP端口885上侦听主动身份验证。

验证策略配置和策略部署

确保在身份策略中正确配置领域、身份验证类型、用户代理和操作字段。

确保身份策略与访问控制策略正确关联。

导航到消息中心>任务，确保策略部署成功完成。

分析事件日志

Connection和User Activity事件可用于诊断用户登录是否成功。这些事件

还可以验证对流应用了哪条访问控制规则。

导航到分析>用户以检查用户事件日志。

导航到分析>连接事件以检查连接事件。

版本	发布日期	备注
2.0	07-Jun-2023	重新认证
1.0	15-Jan-2016	初始版本