配置Active Directory與Firepower裝置的整合以實現單點登入&；強制網路門戶身份驗證

下載選項

PDF (1.9 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.6 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.0 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 6 月 7 日

文件 ID:200329

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹強制網路門戶身份驗證（主動身份驗證）和單點登入（被動身份驗證）的配置。

必要條件

需求

思科建議您瞭解以下主題：

Sourcefire Firepower裝置
虛擬裝置型號
輕量級目錄服務(LDAP)
Firepower使用者代理

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Firepower管理中心(FMC) 6.0.0版及更高版本
Firepower感測器6.0.0及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

強制網路門戶身份驗證或主動身份驗證提示登入頁面和使用者憑證是主機獲取網際網路訪問許可權所必需的。

「單一登入」或「被動驗證」可為使用者提供緊密的驗證，以便存取網路資源與網際網路，而不需多次使用者的認證。Single-Sign-On身份驗證可透過Firepower使用者代理或NTLM瀏覽器身份驗證實現。

注意：對於強制網路門戶身份驗證，裝置必須處於路由模式。

設定

步驟 1.配置用於單一登入的Firepower使用者代理

本文說明如何在Windows電腦上配置Firepower使用者代理：

安裝和解除安裝Sourcefire使用者代理

步驟 2.將Firepower管理中心(FMC)與使用者代理整合

登入Firepower管理中心，導航到系統>整合>身份源。按一下「新代理程式」選項。配置User Agent系統的IP地址並按一下Add按鈕。

按一下Save按鈕儲存更改。

Integrate_User_Agent

步驟 3.將Firepower與Active Directory整合

步驟3.1建立範圍

登入FMC，導航到系統>整合>領域。按一下新增範圍選項。

名稱和說明：提供唯一辨識領域的名稱/說明。

文字：AD

AD主要網域：Active Directory的網域名稱

目錄使用者名稱： <使用者名稱>

目錄密碼： <password>

基礎DN：系統從LDAP資料庫中開始搜尋的網域或特定OU DN。

群組DN：群組DN

群組屬性：成員

GUI

本文可幫助您瞭解基本DN和組DN值。

辨識Active Directory LDAP物件屬性

步驟3.2新增目錄伺服器

按一下Add按鈕以導航到下一步，然後按一下Add directory選項。

主機名/IP地址：配置AD伺服器的IP地址/主機名。

埠： 389（Active Directory LDAP埠號）

加密/SSL證書： （可選）要加密FMC與AD伺服器之間的連線，請參閱

文章：驗證FireSIGHT系統上的身份驗證對象以實現SSL/TLS上的Microsoft AD身份驗證

Add-Directory

按一下Test按鈕以驗證FMC是否可以連線到AD伺服器。

步驟3.3修改範圍組態

導航到領域配置以驗證AD伺服器的整合配置，您可以修改AD配置。

第3.4步下載使用者資料庫

導航到User Download選項以從AD伺服器獲取使用者資料庫。

選中此覈取方塊可下載Download users and groups，並定義有關FMC聯絡AD下載使用者資料庫頻率的時間間隔。

選擇該組並將其放入要為其配置身份驗證的Include選項中。

GUI

如圖所示，啟用AD狀態：

GUI

步驟4.配置身份策略

身份策略執行使用者身份驗證。如果使用者未進行驗證，則會拒絕存取網路資源。這會對組織的網路和資源實施基於角色的訪問控制(RBAC)。

第4.1步強制網路門戶（主動身份驗證）

Active Authentication會在瀏覽器中要求使用者名稱/密碼，以辨識允許任何連線的使用者身分。瀏覽器使用身份驗證頁對使用者進行身份驗證，或使用NTLM身份驗證進行無訊息身份驗證。 NTLM使用Web瀏覽器傳送和接收身份驗證資訊。主動身份驗證使用各種型別來驗證使用者身份。身份驗證的不同型別包括：

HTTP基本：在此方法中，瀏覽器會提示您輸入使用者身份證明。
NTLM： NTLM使用Windows工作站憑據，並透過Web瀏覽器與Active Directory協商。您需要在瀏覽器中啟用NTLM身份驗證。使用者身份驗證透明地進行，不提示輸入憑證。它為使用者提供單點登入體驗。
HTTP協商：在此型別中，系統嘗試使用NTLM進行身份驗證。如果失敗，則感測器使用HTTP Basic身份驗證型別作為回退方法，並提示對話方塊輸入使用者憑證。
「HTTP回應」頁面：這類似於HTTP基本型別，不過，系統會在此提示使用者在可自訂的HTML表單中填寫認證。

每個瀏覽器都有啟用NTLM驗證的特定方式，因此它們會遵循瀏覽器準則，以啟用NTLM驗證。

要安全地與路由感測器共用憑據，需要在身份策略中安裝自簽名伺服器證書或公開簽名的伺服器證書。

Generate a simple self-signed certificate using openSSL -

Step 1.   Generate the Private key  
               openssl genrsa -des3 -out server.key 2048

Step 2.   Generate Certificate Signing Request (CSR)
               openssl req -new -key server.key -out server.csr

Step 3.   Generate the self-signed Certificate. 
               openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt

導航到策略>訪問控制>身份。按一下Add Policy 並為策略指定名稱並儲存它。

Identity_Policy

導航到主動身份驗證頁籤&在伺服器證書選項中，點選圖示(+)，並上傳在上一步使用openSSL生成的證書和私鑰。

GUI

現在請按一下Add rule按鈕並為Rule指定名稱，然後選擇Active Authentication作為操作。定義要為其啟用使用者身份驗證的源/目標區域、源/目標網路。

選擇Realm（已在上一步中配置）和最適合於您的環境的身份驗證型別。

強制網路門戶的ASA配置

對於ASA Firepower模組，請在ASA上配置這些命令以配置強制網路門戶。

ASA(config)# captive-portal global port 1055

確保在Identity Policy Active Authentication 頁籤的port選項中配置了伺服器埠TCP 1055。

要驗證活動規則及其命中次數，請運行命令：

ASA# show asp table classify domain captive-portal

注意：在ASA版本9.5(2)及更高版本中提供Captive portal命令。

第4.2步單點登入（被動身份驗證）

在被動身份驗證中，當域使用者登入並能夠對AD進行身份驗證時，Firepower使用者代理從AD的安全日誌中輪詢使用者-IP對映詳細資訊，並與Firepower管理中心(FMC)共用此資訊。FMC將這些詳細資訊傳送到感測器以實施訪問控制。

按一下Add rule按鈕，為規則指定名稱並選擇Action作為Passive Authentication。定義要為其啟用使用者身份驗證的源/目標區域、源/目標網路。

選擇您在上一步中配置的Realm以及最適合您的環境的身份驗證型別，如下圖所示。

此處，如果被動身份驗證無法辨識使用者身份，則您可以選擇回退方法作為主動身份驗證。

GUI

步驟5.配置訪問控制策略

導航到策略>訪問控制>建立/編輯策略。

按一下Identity Policy（左側上角），選擇已在上一步中配置的Identify Policy，然後按一下OK按鈕，如下圖所示。

GUI

按一下Add rule按鈕以增加新規則。導航到使用者，然後選擇要為其實施訪問控制規則的使用者，如下圖所示。按一下OK，然後按一下Save儲存更改。

GUI

步驟6.部署訪問控制策略

導航到Deploy選項，選擇Device並按一下Deploy選項，將配置更改推送到感測器。透過消息中心圖示（部署和系統選項之間的圖示）選項監視策略的部署，並確保必須成功應用策略，如下圖所示。

GUI

步驟7.監視使用者事件和連線事件

當前活動的使用者會話在分析>使用者>使用者部分中可用。

使用者活動監控有助於確定哪個使用者與哪個IP地址關聯，以及系統如何透過主動身份驗證或被動身份驗證檢測使用者。 分析>使用者>使用者活動

使用者_活動

導航到分析>連線>事件，監控使用者使用的流量型別。

GUI

驗證與疑難排解

導航到分析>使用者，驗證與資料流關聯的使用者身份驗證/身份驗證型別/使用者-IP對映/訪問規則。

驗證FMC和使用者代理之間的連線（被動身份驗證）

Firepower管理中心(FMC)使用TCP埠3306，以便從使用者代理接收使用者活動日誌資料。

要驗證FMC服務狀態，請在FMC中使用此命令。

admin@firepower:~$ netstat -tan | grep 3306

在FMC上運行資料包捕獲以驗證與使用者代理的連線。

admin@firepower:~$ sudo tcpdump -i eth0 -n port 3306

導航到分析>使用者>使用者活動以驗證FMC是否從使用者代理接收使用者登入詳細資訊。

驗證FMC和Active Directory之間的連線

FMC使用TCP埠389從Active directory檢索使用者資料庫。

在FMC上運行資料包捕獲以驗證與Active Directory的連線。

admin@firepower:~$ sudo tcpdump -i eth0 -n port 389

確保FMC領域配置中使用的使用者憑據具有獲取AD使用者資料庫的足夠許可權。

驗證FMC領域配置，確保使用者/組已下載並且使用者會話超時配置正確。

導航到消息中心>任務，確保任務使用者/組下載成功完成（如圖所示）。

驗證Firepower感測器和終端系統之間的連線（主動身份驗證）

對於活動身份驗證，請確保在FMC身份策略中正確配置證書和埠。預設情況下，Firepower感測器偵聽TCP埠885上的活動身份驗證。

驗證策略配置和策略部署

確保已在身份策略中正確配置領域、身份驗證型別、使用者代理和操作欄位。

確保身份策略與訪問控制策略正確關聯。

導航到消息中心>任務，確保策略部署成功完成。

分析事件日誌

「連線」和「使用者活動」事件可用於診斷使用者登入是否成功。這些事件

還可以驗證對流應用了哪個訪問控制規則。

導航到分析>使用者檢查使用者事件日誌。

導航到分析>連線事件檢查連線事件。

修訂	發佈日期	意見
2.0	07-Jun-2023	重新認證
1.0	15-Jan-2016	初始版本