Segurança : Cisco Firepower Management Center

Objeto da verificação de autenticação no sistema de FireSIGHT para a autenticação de Microsoft AD sobre o SSL/TLS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Você pode configurar um centro de gerenciamento de FireSIGHT para permitir que os usuários externos do diretório ativo LDAP autentiquem o acesso à relação de usuário de web e ao CLI. Este artigo discute como configurar, para testar, pesquisa defeitos o objeto da autenticação para a autenticação de Microsoft AD sobre o SSL/TLS.

Contribuído por Binyam Demissie, engenheiro de TAC da Cisco.

Pré-requisito

Cisco recomenda que você tem o conhecimento no sistema do gerenciamento de usuário e de autenticação externa no centro de gerenciamento de FireSIGHT.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Procedimento

Etapa 1. Configurar o objeto da autenticação sem criptografia SSL/TLS.

  1. Configurar o objeto da autenticação como você normalmente. Os passos básicos de configuração para cifrado e autenticação não criptografada são os mesmos.
  2. Confirme que o objeto da autenticação está trabalhando e usuários AD LDAP pode autenticar unencrypted.

Etapa 2. Teste o objeto da autenticação sobre o SSL e o TLS sem certificado de CA.
 
Teste o objeto da autenticação sobre o SSL e o TLS sem CERT de CA. Se você encontra uma edição, consulte por favor com seu System Admin para resolver esta edição no server AD LD. Se um certificado tem sido transferido arquivos pela rede previamente ao objeto da autenticação, selecione por favor o “certificado esteve carregado (seleto para cancelar o certificado carregado)” para cancelar o CERT e para testar outra vez o AO.
 
Se o objeto da autenticação falha, satisfaça consultam seu System Admin para verificar a configuração AD LD SSL/TLS antes que você se transporte sobre à próxima etapa. Contudo, sinta por favor livre continuar às seguintes etapas a testar mais o objeto da autenticação com certificado de CA.
 
Etapa 3. CERT de Base64 CA da transferência.

  1. Início de uma sessão ao AD LD.
  2. Abra um navegador da Web e conecte-o a http://localhost/certsrv
  3. Clique sobre a “transferência um certificado de CA, um certificate chain, ou um CRL
  4. Escolha o CERT de CA do “certificado de CA” lista e “Base64" “do método de codificação
  5. Clique sobre da “o link do certificado de CA transferência” para transferir o arquivo de certnew.cer.

Etapa 4. Verifique o valor sujeito no CERT.

  1. Clicar com o botão direito em certnew.cer e selecione aberto.
  2. Clique sobre detalhes aba e selecione o <All> das opções da gota-para baixo da mostra
  3. Verifique o valor para cada campo. Em particular, verifique que o valor sujeito combina o nome de host do servidor primário do objeto da autenticação.

Etapa 5. Teste o CERT em uma máquina de Microsoft Windows. Você pode executar este teste em um grupo de trabalho ou em uma máquina juntada domínio de Windows.

Dica: Esta etapa pode ser usada para testar o certificado de CA em um sistema Windows antes de criar o objeto da autenticação em um centro de gerenciamento de FireSIGHT.

  1. Copie o CERT de CA a C:\Certficate ou a todo o diretório preferido.
  2. Execute a linha de comando de Windows, cmd.exe como um administrador
  3. Teste o certificado de CA com comando de Certutil
cd c:\Certificate

certutil -v -urlfetch -verify certnew.cer >cacert.test.txt

Se a máquina de Windows é juntada já o domínio, o certificado de CA deve estar na loja do certificado e não deve haver nenhum erro em cacert.test.txt. Contudo, se a máquina de Windows está em um grupo de trabalho, você pode ver uma das duas mensagens segundo a existência do CERT de CA na lista confiada de CA.

a. CA é confiado mas nenhum CRL encontrou para CA:

ERROR: Verifying leaf certificate revocation status returned The revocation function
was unable to check revocation because the revocation server was offline. 0x80092013
(-2146885613)

CertUtil: The revocation function was unable to check revocation because the
revocation server was offline.

b. CA não é confiado:

Verifies against UNTRUSTED root
Cert is a CA certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.

Se você recebe quaisquer outros Mensagens de Erro como abaixo, consulte por favor com seu System Admin para resolver a edição no AD LD e CA intermediário. Estes Mensagens de Erro são uns indicativos do CERT incorreto, do assunto no CERT de CA, de certificate chain faltante, etc.

Failed "AIA" Time: 0
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or d evice is no longer available

Etapa 6. Uma vez que você confirma o CERT de CA é válido e passou o teste na etapa 5, transfere arquivos pela rede o CERT ao objeto da autenticação e executa o teste.

Etapa 7. Salvar o objeto da autenticação e reaplique a política de sistema.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118635