Segurança : Cisco ASA Next-Generation Firewall Services

Exemplo de configuração da integração do ative directory do Firewall da próxima geração (CX)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como determinar informação da busca apropriada do usuário e do grupo do Lightweight Directory Access Protocol (LDAP) quando você configura o Firewall da próxima geração (CX ou Firewall do contexto) com gerenciador de segurança principal (PRSM) para características da identidade. Quando você configura políticas da identidade dentro de PRSM, se a informação da base da busca do usuário do diretório e do grupo não está incorporada corretamente, o dispositivo não poderá olhar corretamente acima o usuário e a informação do grupo e algumas políticas puderam não se aplicam corretamente. Este documento guia o usuário com a determinação informação da busca correta do usuário e do grupo para uma política do diretório ativo e mostra como confirmar se o CX pode com sucesso executar buscas do usuário e do grupo.

Contribuído pelo gaio Johnston, Prapanch Ramamoorthy, e kevin Klous, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no Firewall da próxima geração com Gerenciamento da em-caixa PRSM, versão 9.2.1.2(52).

Nota: Este documento supõe que as políticas da autenticação e do usuário e do grupo estarão executadas usando um controlador de domínio do microsoft ative directory.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Este documento descreve dois tipos de configurações, que são a configuração do reino e a configuração de diretório.

A configuração do reino

O reino é um recipiente em que os Authentication Server são colocados. Para obter mais informações sobre dos reinos do diretório, veja a vista geral da seção de reinos do diretório do Guia do Usuário para ASA CX e o gerenciador de segurança principal 9.2 de Cisco.

Exemplo

Na versão 9.2 PRSM, escolha configurações > reino do diretório.

Nota: O domínio principal deve ser lowercase devido à identificação de bug Cisco CSCum53396 - ASA CX não segura a detecção de letra maiúscula para Domain Name corretamente.

A configuração de diretório

Dentro do reino configurado, um diretório deve ser criado que represente o servidor ldap (o servidor ative directory).

Da “a base pesquisa de usuário” e do “da busca grupo base” devem corretamente ser configuradas baseada na estrutura de diretório ativo específica, ou as políticas USER-baseadas e grupo-baseadas puderam falhar. Refira a informação nesta seção a fim determinar os valores apropriados para estes campos em seu ambiente.

Exemplo

Determine a base da pesquisa de usuário

A fim determinar a base da pesquisa de usuário, termine estas etapas:

  1. Entre ao servidor ative directory como um administrador de domínio.

  2. Abra um comando prompt (escolha o Iniciar > Executar e entre no Cmd).

  3. Incorpore o comando do dsquery a fim determinar o nome baixo do indicador (DN) para um usuário conhecido. Incorpore alguma dessa informação na tela da configuração de diretório dentro do gerenciador de segurança principal.

Neste exemplo, o comando do dsquery é incorporado a fim procurar pelos usuários que têm um DN que comece com o “gaio”. O uso do “*” o convite com o comando retorna a informação para todos os usuários com um DN que começa com o “gaio”:

Esta saída pode ser usada a fim determinar a estrutura LDAP para a base da pesquisa de usuário dentro do gerenciador de segurança principal.

Este exemplo usa “DC=csc-lab, DC=ciscotac, dc=com” como a base apropriada da pesquisa de usuário para a configuração de diretório em PRSM.

Determine a base da busca do grupo

O procedimento para determinar a base da busca do grupo é similar ao procedimento determinar a base da pesquisa de usuário.

  1. Início de uma sessão ao servidor ative directory como um administrador de domínio.

  2. Abra um comando prompt (escolha o Iniciar > Executar e entre no Cmd).

  3. A fim determinar a base DN para um grupo conhecido, incorpore o comando do dsquery. Incorpore essa informação na tela da configuração de diretório.

Neste exemplo, o grupo atual é nomeado “empregados.” Consequentemente, você pode usar o comando do dsquery a fim determinar o DN para esse grupo específico:

Esta saída é usada a fim determinar a estrutura LDAP para a base da busca do grupo.

Neste caso, a informação “DC=csc-lab, DC=ciscotac, dc=com” é uma base apropriada da pesquisa de usuário para a configuração de diretório.

Esta imagem mostra como a saída dos comandos do dsquery pode ser traçada informação da base à busca do usuário do diretório e do grupo:

Determine o nome destacado de outros objetos no diretório ativo - o ADSI edita

Se você precisa de consultar sua estrutura de diretório ativo a fim olhar acima nomes destacados para se usar para base da sua busca do usuário ou do grupo, você pode usar uma ferramenta chamada o ADSI edita que é construído em controladores de domínio do diretório ativo. A fim abrir o ADSI edite, escolha o Iniciar > Executar em seu controlador de domínio do diretório ativo e incorpore adsiedit.msc.

Uma vez que você está no ADSI edite, clicar com o botão direito todo o objeto (tal como uma unidade organizacional (OU), agrupe, ou usuário) e escolha propriedades a fim ver o nome destacado desse objeto. Você pode então facilmente copiar e colar a corda a sua configuração CX em PRSM a fim evitar todos os erros tipográficos. Veja este tiro de tela para mais específicos neste processo:

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Verifique a conectividade de rede ao servidor ative directory

A fim verificar a conectividade de rede básica entre o Firewall da próxima geração e o servidor ative directory, clique a conexão de teste.

Nota: A conexão de teste verifica simplesmente que o Firewall da próxima geração pode olhar acima o endereço IP de Um ou Mais Servidores Cisco ICM NT para o nome de host de diretório configurado e estabelecer uma conexão de TCP a esse endereço IP de Um ou Mais Servidores Cisco ICM NT na porta 389 do TCP destino. Não confirma que o Firewall da próxima geração pode perguntar o servidor ative directory e executar consultas reais do usuário e do grupo.

Verifique o usuário e agrupe a consulta com o diretório ativo

A fim verificar que a informação de identidade está correta, execute um teste simples para provocar o Firewall da próxima geração para executar uma busca LDAP com as bases configuradas do usuário e da busca do grupo.

Antes que você teste, assegure-se de que todas as alterações de configuração estejam distribuídas ao dispositivo.

  1. Escolha configurações > políticas/ajustes.

  2. Crie uma política nova (esta política não salvar). Da lista de drop-down da fonte, escolha criam o objeto novo.

  3. No campo de nome, dê entrada com um nome de objeto. Da lista de drop-down do tipo de objeto, escolha o objeto da identidade CX.

  4. Nos grupos coloque, incorpore alguns caráteres contidos em um grupo conhecido do diretório ativo. Se o Firewall da próxima geração fornece uma lista de drop-down dos grupos do diretório ativo que combinam aqueles configurados no server, este significa que o Firewall da próxima geração podia perguntar o servidor ldap e encontrou o grupo na estrutura LDAP, assim que a configuração é funcional.

    Esta imagem mostra que se você incorpora as letras Emp aos grupos coloque, o valor “CiscoTAC \ empregados” é um grupo da estrutura de diretório ativo que combina. Isto significa que a informação da Conectividade e da busca é funcional.



    O mesmo teste pode ser executado para usuários. Incorpore alguns caráteres do nome do indicador de um usuário de diretório ativo conhecido, e espere para ver se o Firewall da próxima geração mostra o nome terminado do indicador. Se faz, o sistema é muito provavelmente funcional.



  5. Depois que os testes estão completos, cancele fora das telas do objeto e da configuração das normas.

Troubleshooting

Os problemas da Configuração de DNS fazem com que a integração do ative directory falhe

Se a definição do Domain Name System (DNS) para o nome configurado para o domínio falha, a integração do ative directory falha. Conexão de uma mensagem “falhada com o erro: Join retornou indicadores DNS_ERROR_BAD_PACKET” quando você clica a conexão de teste:

Se o Firewall da próxima geração não pode resolver o endereço IP de Um ou Mais Servidores Cisco ICM NT para o domínio configurado, verifique os ajustes DNS no Firewall da próxima geração com a mostra dns e os comandos nslookup a fim confirmar que o hostname está solucionável pelo dispositivo e que os ajustes DNS estão corretos.

Problemas de conectividade de rede entre o Firewall da próxima geração e o servidor ative directory

Se o Firewall da próxima geração é incapaz de conectar ao servidor ative directory (devido a um problema de rede ou a uma configuração de firewall na máquina), a integração falha. Isto poderia ser causado se a Conectividade na porta TCP 389 está obstruída por um dispositivo (tal como um Firewall ou um roteador) entre o Firewall da próxima geração e o servidor ative directory.

Conexão de uma mensagem “falhada com o erro: Join retornou indicadores de NERR_DCNotFound” quando você clica a conexão de teste:

Se você vê esta mensagem:

  • Confirme que o Firewall da próxima geração tem a conectividade básica IP ao server com o sibilo, o nslookup e os comandos traceroute do CLI.
  • Verifique que o Firewall configurado no servidor ative directory está configurado a fim obstruir a Conectividade do Firewall da próxima geração na porta TCP 389.
  • Tome capturas de pacote de informação no servidor ative directory e na rede a fim determinar que dispositivo pôde obstruir o acesso.

Informações Relacionadas



Document ID: 117377