シングル サインオンとキャプティブ ポータル認証(On-Box Management)用に ASDM と Active Directory を設定する

Similar documents
NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

シナリオ:DMZ の設定

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

証明書(Certificates)

適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

CUCM と VCS 間のセキュア SIP トランクの設定例

PowerPoint Presentation

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

FQDN を使用した ACL の設定

連絡先

シナリオ:サイトツーサイト VPN の設定

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

Mobile Access簡易設定ガイド

コミュニケーション サービスの設定

LDAP サーバと統合するための ISE の設定

Windows GPO のスクリプトと Cisco NAC 相互運用性

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

Cisco FireSIGHT システムの SSL 検査ポリシーの設定

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

Intuit QuickBooks との統合

Cisco Unity と Unity Connection Server の設定

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

VPN 接続の設定

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

AW-PCS認証設定手順1805

8021.X 認証を使用した Web リダイレクトの設定

設定例: 基本 ISDN 設定

R76/Gaia ブリッジ構成設定ガイド

IBM Proventia Management/ISS SiteProtector 2.0

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

Active Directory フェデレーションサービスとの認証連携

Microsoft Exchange Server 2003/2007 と IM and Presence との統合

Kerberos の設定

UCCX ソリューションの ECDSA 証明書について

障害およびログの表示

IM and Presence サービスの設定

PfRv2 での Learn-List と PfR-Map の設定

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

CEM 用の Windows ドメイン コントローラ上の WMI の設定

Nexus 1000V による UCS の MAC アドレスのトレース

Contents 1. はじめに 3.GUIからのアクセス方法 4 3. 鍵ペアの生成 5 4. サーバ証明書署名要求 (CSR) の作成 9 5. サーバ証明書のインストール 1 6.ServerIronの設定 17

URL ACL(Enhanced)導入ガイド

Cisco Identity Services Engine の証明書更新に関する設定ガイド

ログインおよび設定

Net'Attest EPS設定例

NAC(CCA)4.x: LDAP を使用して、ユーザを特定のロールにマッピングする設定例

UCCX 11.6 の Gmail の SocialMiner の統合

詳細設定

Microsoft PowerPoint - APM-VE(install).pptx

ACI のファースト LACP タイマーを設定して下さい

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

Agentless_UID_Win2003_RevB

Untitled

メールデータ移行手順

索引

自律アクセス ポイントでの Cisco IOS のアップグレード

Symantec AntiVirus の設定

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

シスコ以外の SIP 電話機の設定

ミーティングへの参加

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

POWER EGG 3.0 Office365連携

使用する前に

Microsoft iSCSI Software Targetを使用したクラスタへの共有ディスク・リソースの提供

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

AverCasterご利用ガイド

マルチ VRFCE PE-CE リンクのプロビジョ ニング

ip nat outside source list コマンドを使用した設定例

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

はじめに

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

1

X.25 PVC 設定

OS5.2_SSLVPN設定手順書

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

End Users

Cisco ASA Firepower ASA Firepower

Microsoft PowerPoint - SSO.pptx[読み取り専用]

ASA ネットワーク アドレス変換構成のトラブルシューティング

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

Microsoft Word - ID32.doc

アラートの使用

改訂日 : 2009 年 3 月 OL Cisco Phone Control and Presence プラグインのインストール プラグインが自動的にインストールされない場合は ここに示すでプラグインを直接インストールします Cisco Phone Control and P

IIS8でのクライアント証明書の設定方法

Transcription:

シングルサインオンとキャプティブポータル認証 (On-Box Management) 用に ASDM と Active Directory を設定する 目次 はじめに前提条件要件使用するコンポーネント背景説明設定手順 1: シングルサインオン用に Firepower ユーザエージェントを設定する 手順 2:Firepower モジュール (ASDM) をユーザエージェントと統合する 手順 3:Firepower を Active Directory と統合する 手順 3.1: レルムを作成する 手順 3.2: ディレクトリサーバの IP アドレスとホスト名を追加する 手順 3.3: レルムの設定を変更する 手順 3.4: ユーザデータベースをダウンロードする ステップ 4: アイデンティティポリシーを設定する ステップ 5: アクセスコントロールポリシーを設定する 手順 6: アクセスコントロールポリシーを展開する 手順 7: 確認 Firepower モジュールとユーザエージェント間の接続 ( パッシブ認証 ) FMC と Active Directory 間の接続 ASA とエンドシステム間の接続 ( アクティブ認証 ) ポリシーの設定とポリシーの展開トラブルシューティング関連情報 概要 このドキュメントでは ASDM(Adaptive Security Device Manager) を使用して Firepower モジュールにキャプティブポータル認証 ( アクティブ認証 ) とシングルサインオン ( パッシブ認証 ) を設定する方法を説明します 前提条件 要件 次の項目に関する知識が推奨されます

ASA( 適応型セキュリティアプライアンス ) ファイアウォールと ASDM の知識 FirePOWER モジュールの知識 Light Weight Directory Service(LDAP) Firepower ユーザエージェント 使用するコンポーネント このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです ソフトウェアバージョン 5.4.1 以降を実行する ASA FirePOWER モジュール (ASA 5506X/5506H-X/5506W-X ASA 5508-X ASA 5516-X) ソフトウェアバージョン 6.0.0 以降を実行する ASA FirePOWER モジュール (ASA 5515- X ASA 5525-X ASA 5545-X ASA 5555-X) 本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 稼働中のネットワークで作業を行う場合 コマンドの影響について十分に理解したうえで作業してください 背景説明 キャプティブポータル認証またはアクティブ認証では ログインページが表示され ホストがインターネットにアクセスするためにユーザクレデンシャルが必要になります シングルサインオンまたはパッシブ認証では ユーザクレデンシャルを複数回入力する必要のない ネットワークリソースやインターネットアクセスのためのシームレスな認証をユーザに提供します シングルサインオン認証は Firepower ユーザエージェントまたは NTLM ブラウザ認証のいずれかによって実現できます 注 : キャプティブポータル認証では ASA がルーテッドモードである必要があります 注 : キャプティブポータルコマンドは ASA バージョン 9.5(2) 以降で使用できます 設定 ステップ 1: シングルサインオン用に Firepower ユーザエージェントを設定する 次の記事では Windows マシンで Firepower ユーザエージェントを設定する方法について説明します Sourcefire ユーザエージェントのインストールとアンインストール ステップ 2:Firepower モジュール (ASDM) をユーザエージェントと統合する ASDM にログインし [Configuration] > [ASA FirePOWER Configuration] > [Integration] > [Identity Sources] に移動して [User Agent] オプションをクリックします [User Agent] オプションをクリックした後 ユーザエージェントシステムの IP アドレスを設定します 次の図のように [Add] をクリックします

[Save] ボタンをクリックして 変更を保存します 手順 3:Firepower を Active Directory と統合する 手順 3.1: レルムを作成する ASDM にログインし [Configuration] > [ASA FirePOWER Configuration] > [Integration] > [Realms] に移動します [Add a New Realm] をクリックします [Name] と [Description]: レルムを一意に特定するための名前と説明を入力します Type: AD [AD Primary Domain]: Active Directory のドメイン名 (NETBIOS 名 ) です [Directory Username]: < ユーザ名 > を指定します [Directory Password]: < パスワード > を指定します [Base DN]: LDAP データベースの検索を開始する基点となるドメインまたは特定の OU DN です [Group DN]: グループの DN を指定します [Group Attribute]: ドロップダウンリストからオプションの [Member] を指定します

[OK] をクリックして 構成を保存します 次の記事は ベース DN およびグループ DN の値を決めるのに役立ちます Active Directory LDAP オブジェクトの属性の特定 手順 3.2: ディレクトリサーバの IP アドレスとホスト名を追加する AD サーバの IP またはホスト名を指定するには [Add directory] をクリックします [Hostname/IP Address]: AD サーバの IP アドレスまたはホスト名を設定します [Port]: Active Directory の LDAP ポート番号 ( デフォルトは 389) を指定します [Encryption] [SSL Certificate]: (( オプション )FMC と AD サーバ間の接続を暗号化するには 次の記事を参照してください SSL/TLS 経由で Microsoft AD 認証を行うための FireSIGHT システム上の認証オブジェクトの検証 [Test] をクリックして FMC と AD サーバの接続を確認します [OK] をクリックして 構成を保存します 手順 3.3: レルムの設定を変更する AD サーバの統合構成を変更して確認するには [Realm Configuration] に移動します 手順 3.4: ユーザデータベースをダウンロードする AD サーバからユーザデータベースを取得するために [User Download] に移動します [Download users and groups] チェックボックスをオンにしてダウンロードを有効にし ユーザデータベースをダウンロードするために Firepower モジュールが AD サーバに接続する頻度を時間間隔で定義します 認証を設定するグループを選択し [include] オプションに追加します 含めるグループを選択し

ないと デフォルトですべてのグループが選択されます [Store ASA Firepower Changes] をクリックして レルムの構成を保存します レルムの状態を有効にし ダウンロードボタンをクリックしてユーザとグループをダウンロードします ( 次の図を参照 ) 手順 4: アイデンティティポリシーを設定する アイデンティティポリシーはユーザ認証を実行します ユーザが認証されないと ネットワークリソースへのアクセスが拒否されます ポリシーを設定すると ロールベースアクセスコントロール (RBAC) が組織のネットワークとリソースに適用されます 手順 4.1: キャプティブポータル ( アクティブ認証 ) アクティブ認証は ブラウザでユーザ名とパスワードの入力を要求し ユーザのアイデンティティを特定して 接続を許可します ブラウザは 認証ページを表示することで または NTLM 認証を使用してサイレントに ユーザを認証します NTLM は Web ブラウザを使用して 認証情報を送受信します アクティブ認証は さまざまな方式を使用してユーザのアイデンティティを確認します 認証の方式は次のとおりです

1. HTTP Basic: この方法では ブラウザがユーザクレデンシャルの入力を求めます 2. NTLM: NTLM は Windows ワークステーションクレデンシャルを使用し Webブラウザを使用してそれを Active Directory とネゴシエートします ブラウザで NTLM 認証を有効にする必要があります ユーザ認証は クレデンシャルを要求することなく透過的に行われます ユーザにシングルサインオン環境を提供します 3. HTTP ネゴシエート : この方式では システムは NTLM を使用して認証を試み それに失敗すると センサーはフォールバック方式として HTTP 基本認証方式を使用し ダイアログボックスでユーザクレデンシャルの入力を求めます 4. HTTP 応答ページ : これは HTTP Basic 方式に似ていますが ユーザは HTML フォームに認証情報の入力を求められます フォームはカスタマイズできます 各ブラウザには NTLM 認証を有効にする固有の方法があり そのため NTLM 認証を有効にするにはブラウザのガイドラインに従います ルーテッドセンサーとクレデンシャルを安全に共有するには 自己署名サーバ証明書または公開署名サーバ証明書をアイデンティティポリシーにインストールする必要があります Generate a simple self-signed certificate using openssl - Step 1. Step 2. Generate the Private key openssl genrsa -des3 -out server.key 2048 Generate Certificate Signing Request (CSR) openssl req -new -key server.key -out server.csr Step 3. Generate the self-signed Certificate. openssl x509 -req -days 3650 -sha256 -in server.csr -signkey server.key -out server.crt [Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Identity Policy] に移動します 次に [Active Authentication] タブに移動し [Server Certificate] オプションで [+] アイコンをクリックして 前の手順で生成した証明書と秘密キーを openssl でアップロードします ( 次の図を参照 ) [Add rule] をクリックしてルールの名前を指定し アクションとして [Active Authentication] を選

択します ユーザ認証を有効にする送信元 / 宛先ゾーンと送信元 / 宛先ネットワークを定義します [Realm & Settings] タブに移動します [Realm] ドロップダウンリストから前の手順で設定したレルムを選択し [Authentication Type] ドロップダウンリストからネットワーク環境に最適な認証方式を選択します 手順 4.2: キャプティブポータルの ASA 構成 手順 1: 検査のために Sourcefire にリダイレクトするインタレスティングトラフィックを定義します ASA(config)# access-list SFR_ACL extended permit ip 192.168.10.0 255.255.255.0 any ASA(config)# ASA(config)# class-map SFR_CMAP ASA(config-cmap)# match access-list SFR_ACL ASA(config)# policy-map global_policy ASA(config-pmap)# class SFR_CMAP ASA(config-pmap-c)# sfr fail-open ASA(config)#service-policy global_policy global 手順 2: キャプティブポータルを有効にするために ASA で次のコマンドを設定します ASA(config)# captive-portal interface inside port 1025 captive-portal [Active Authentication] TCP 1025 手順 4.3: シングルサインオン ( パッシブ認証 ) パッシブ認証では ドメインユーザがログインして AD の認証を行うことができる場合

Firepower ユーザエージェントは AD のセキュリティログからユーザと IP マッピングの詳細をポーリングし この情報を Firepower モジュールと共有します Firepower モジュールはこれらの詳細を使用して アクセス制御を適用します パッシブ認証ルールを設定するには [Add rule] をクリックしてルールの名前を指定し [Action] として [Passive Authentication] を選択します ユーザ認証を有効にする送信元 / 宛先ゾーンと送信元 / 宛先ネットワークを定義します [Realm & Settings] タブに移動します [Realm] ドロップダウンリストで 前の手順で設定したレルムを選択します フォールバック方法として [Active authentication if passive authentication cannot identify the user identity] を選択できます ( 次の図を参照 ) [Store ASA Firepower Changes] をクリックして アイデンティティポリシーの設定を保存します ステップ 5: アクセスコントロールポリシーを設定する [Configuration] > [ASA FirePOWER Configuration] > [Policies] > [Access Control Policy] に移動します [Identity Policy] ( 左上隅 ) をクリックして ドロップダウンリストから前の手順で設定したアイデンティティポリシーを選択し [OK] をクリックします ( 次の図を参照 )

[Add rule] をクリックして新しいルールを追加し [Users] に移動した後 アクセス制御ルールを適用するユーザを選択して ( 次の図を参照 ) [Add] をクリックします [Store ASA Firepower Changes] をクリックして アクセスコントロールポリシーの構成を保存します 手順 6: アクセスコントロールポリシーを展開する アクセスコントロールポリシーを展開する必要があります ポリシーを適用する前は アクセスコントロールポリシーがモジュール上で期限切れになっていることがわかります 変更をセンサーに展開するには [Deploy] をクリックし [Deploy FirePOWER Changes] オプションを選択して ポップアップウィンドウの [Deploy] をクリックします 注 : バージョン 5.4.x では アクセスポリシーをセンサーに適用するには [Apply ASA FirePOWER Changes] をクリックする必要があります 注 : [Monitoring] > [ASA Firepower Monitoring] > [Task Status] に移動します 構成の変更を適用するには タスクを完了する必要があります ステップ 7:

[Monitoring] > [ASA FirePOWER Monitoring] > [Real-Time Eventing] に移動し ユーザが使用しているトラフィックの種類を監視します 確認 このセクションでは 設定が正常に機能していることを確認します [Analysis] > [Users] に移動し トラフィックフローに関連付けられているユーザ認証 認証の種類 ユーザ IP マッピング アクセスルールを確認します Firepower モジュールとユーザエージェント間の接続 ( パッシブ認証 ) ユーザエージェントからユーザアクティビティログデータを受信するために Firepower モジュールは TCP ポート 3306 を使用します Firepower モジュールのサービスステータスを確認するには FMC で次のコマンドを使用します ASA(config)# captive-portal interface inside port 1025 ユーザエージェントとの接続を確認するには FMC でパケットキャプチャを実行します ASA(config)# captive-portal interface inside port 1025 FMC と Active Directory 間の接続 Active directory からユーザデータベースを取得するために Firepower モジュールは TCP ポート 389 を使用します Active Directory との接続を確認するには Firepower モジュールでパケットキャプチャを実行します ASA(config)# captive-portal interface inside port 1025 レルムの設定で使用されているユーザクレデンシャルに AD のユーザデータベースを取得するのに十分な権限があることを確認します レルムの設定を調べて ユーザまたはグループがダウンロードされること およびユーザセッションのタイムアウトが正しく設定されていることを確認します [Monitoring ASA Firepower Monitoring Task Status] に移動し タスクユーザとグループのダウンロードが正常に完了したことを確認します ( 次の図を参照 ) ASA とエンドシステム間の接続 ( アクティブ認証 ) アクティブ認証の場合 Firepower モジュールのアイデンティティポリシーおよび ASA で証明書とポートが正しく設定されていることを確認します ( キャプティブポータルコマンド ) デフォルトでは ASA と Firepower モジュールは TCP ポート 885 でアクティブ認証をリッスンします アクティブなルールとそのヒット数を調べるには ASA で次のコマンドを実行します

ASA# show asp table classify domain captive-portal Input Table in id=0x2aaadf516030, priority=121, domain=captive-portal, deny=false hits=10, user_data=0x0, cs_id=0x0, flags=0x0, protocol=6 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=19.19.19.130, mask=255.255.255.255, port=1025, tag=any, dscp=0x0 input_ifc=inside, output_ifc=identity Output Table: L2 - Output Table: L2 - Input Table: Last clearing of hits counters: Never ポリシーの設定とポリシーの展開 [Identity Policy] で [Realm] [Authentication type] [User agent] [Action] の各フィールドが正しく設定されていることを確認します アイデンティティポリシーがアクセスコントロールポリシーと正しく関連付けられていることを確認します [Monitoring] > [ASA Firepower Monitoring] > [Task Status] に移動し ポリシーの展開が正常に完了していることを確認します トラブルシューティング 現在のところ この設定に関する特定のトラブルシューティング情報はありません 関連情報 テクニカルサポートとドキュメント Cisco Systems シングルサインオンとキャプティブポータルの認証用に FirePOWER アプライアンスを含む Active Directory の統合を設定する

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック