Sécurité : Services pare-feu de prochaine génération de la gamme Cisco ASA

Exemple de la deuxième génération de configuration d'intégration de Répertoire actif du Pare-feu (CX)

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment les informations déterminer de Protocole LDAP (Lightweight Directory Access Protocol) d'utilisateur et de groupe recherche appropriée quand vous configurez le Pare-feu de la deuxième génération (Pare-feu de la CX ou du contexte) avec le directeur de la sécurité principal (PRSM) pour des caractéristiques d'identité. Quand vous configurez des stratégies d'identité dans PRSM, si les informations de base de la recherche d'utilisateur et de groupe de répertoire ne sont pas écrites correctement, le périphérique ne sera pas correctement utilisateur capable de consultation et l'information du groupe et quelques stratégies pourraient pour s'appliquer correctement. Ce document guide l'utilisateur par la détermination les informations d'utilisateur et de groupe de recherche correcte pour une stratégie de Répertoire actif et affiche comment confirmer si la CX peut avec succès exécuter des recherches d'utilisateur et de groupe.

Contribué par geai Johnston, Prapanch Ramamoorthy, et Kevin Klous, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur le Pare-feu de la deuxième génération avec la Gestion de la sur-case PRSM, version 9.2.1.2(52).

Remarque: Ce document suppose que l'authentification et l'utilisateur et les stratégies de groupe seront exécutés utilisant un contrôleur de domaine de Microsoft Active Directory.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Ce document décrit deux types de configurations, qui sont la configuration de royaume et la configuration de répertoire.

La configuration de royaume

Le royaume est un conteneur en lequel des serveurs d'authentification sont placés. Pour plus d'informations sur des royaumes de répertoire, voyez l'aperçu de la section de royaumes de répertoire du guide utilisateur pour ASA CX et du directeur de la sécurité principal 9.2 de Cisco.

Exemple

Dans la version 9.2 PRSM, choisissez les configurations > le royaume de répertoire.

Remarque: Le domaine principal devrait être lettre minuscule due à l'ID de bogue Cisco CSCum53396 - ASA CX ne manipule pas la sensibilité à la casse pour des noms de domaine correctement.

La configuration de répertoire

Dans le royaume configuré, on doit créer un répertoire qui représente le serveur LDAP (le serveur de Répertoire actif).

La « base de recherche d'utilisateur » et « base de recherche de groupe » doivent être correctement configurées basée sur la structure de Répertoire actif spécifique, ou les stratégies utilisateur utilisateur et basées sur groupe pourraient échouer. Référez-vous aux informations dans cette section afin de déterminer les valeurs appropriées pour ces champs dans votre environnement.

Exemple

Déterminez la base de recherche d'utilisateur

Afin de déterminer la base de recherche d'utilisateur, terminez-vous ces étapes :

  1. Procédure de connexion au serveur de Répertoire actif en tant qu'administrateur de domaine.

  2. Ouvrez une invite de commande (choisissez le Start > Run et écrivez le cmd).

  3. Sélectionnez la commande de dsquery afin de déterminer le nom de base d'affichage (DN) pour un utilisateur connu. Écrivez certaines de ces informations dans l'écran de configuration de répertoire chez le directeur de la sécurité principal.

Dans cet exemple, la commande de dsquery est sélectionnée afin de rechercher les utilisateurs qui ont un DN qui commence par le « geai ». L'utilisation du « * » le masque avec la commande renvoie les informations pour tous les utilisateurs avec un DN commençant par le « geai » :

Cette sortie peut être utilisée afin de déterminer la structure de LDAP pour la base de recherche d'utilisateur chez le directeur de la sécurité principal.

Cet exemple utilise « DC=csc-lab, DC=ciscotac, DC=com » comme base appropriée de recherche d'utilisateur pour la configuration de répertoire dans PRSM.

Déterminez la base de recherche de groupe

La procédure pour déterminer la base de recherche de groupe est semblable à la procédure pour déterminer la base de recherche d'utilisateur.

  1. Procédure de connexion au serveur de Répertoire actif en tant qu'administrateur de domaine.

  2. Ouvrez une invite de commande (choisissez le Start > Run et écrivez le cmd).

  3. Afin de déterminer le DN de base pour un groupe connu, sélectionnez la commande de dsquery. Écrivez ces informations sur l'écran de configuration de répertoire.

Dans cet exemple, le groupe en cours est nommé des « employés. » Par conséquent, vous pouvez employer la commande de dsquery afin de déterminer le DN pour ce groupe spécifique :

Cette sortie est utilisée afin de déterminer la structure de LDAP pour la base de recherche de groupe.

Dans ce cas, les informations « DC=csc-lab, DC=ciscotac, DC=com » sont une base appropriée de recherche d'utilisateur pour la configuration de répertoire.

Cette image affiche comment la sortie des commandes de dsquery peut être tracée les informations de base de répertoire d'utilisateur et de groupe à recherche :

Déterminez le nom unique d'autres objets dans le Répertoire actif - ADSI éditent

Si vous devez parcourir vos noms uniques de consultation de structure de Répertoire actif pour utiliser base pour votre recherche d'utilisateur ou de groupe, vous pouvez utiliser un outil appelé l'ADSI éditez qui est construit dans des contrôleurs de domaine de Répertoire actif. Afin d'ouvrir ADSI éditez, choisissez le Start > Run sur votre contrôleur de domaine de Répertoire actif et écrivez adsiedit.msc.

Une fois que vous êtes dans ADSI éditez, cliquez avec le bouton droit n'importe quel objet (tel qu'une unité organisationnelle (OU), groupez, ou utilisateur) et choisissez Properties afin de visualiser le nom unique de cet objet. Vous pouvez alors facilement copier et coller la chaîne à votre configuration de la CX dans PRSM afin d'éviter toutes les erreurs typographiques. Voir le ce tir d'écran pour plus de particularités sur ce processus :

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Vérifiez la connexion réseau au serveur de Répertoire actif

Afin de vérifier la connexion réseau de base entre le Pare-feu de la deuxième génération et le serveur de Répertoire actif, connexion de test de clic.

Remarque: La connexion de test vérifie simplement que le Pare-feu de la deuxième génération peut consultation l'adresse IP pour l'adresse Internet configurée de répertoire et établir une connexion TCP à cette adresse IP sur le port TCP 389 de destination. Il ne confirme pas que le Pare-feu de la deuxième génération peut questionner le serveur de Répertoire actif et exécuter des consultations réelles d'utilisateur et de groupe.

Vérifiez l'utilisateur et groupez la consultation avec le Répertoire actif

Afin de vérifier que les informations d'identité sont correctes, réalisez un test simple pour déclencher le Pare-feu de la deuxième génération pour exécuter une recherche de LDAP avec les bases configurées d'utilisateur et de recherche de groupe.

Avant que vous testiez, assurez-vous que toutes les modifications de configuration ont été déployées vers le périphérique.

  1. Choisissez les configurations > les stratégies/configurations.

  2. Créez une nouvelle stratégie (cette stratégie ne sera pas enregistrée). De la liste déroulante de source, choisissez créent le nouvel objet.

  3. Dans la zone d'identification, écrivez un nom d'objet. De la liste déroulante de type d'objet, choisissez l'objet d'identité de la CX.

  4. Dans les groupes mettez en place, écrivez quelques caractères contenus dans un groupe connu de Répertoire actif. Si le Pare-feu de la deuxième génération fournit une liste déroulante de groupes de Répertoire actif qui apparient ceux configurés sur le serveur, ceci veut dire que le Pare-feu de la deuxième génération pouvait questionner le serveur LDAP et a trouvé le groupe dans la structure de LDAP, ainsi la configuration est fonctionnelle.

    Cette image prouve que si vous introduisez les lettres IEM dans les groupes mettez en place, la valeur « CiscoTAC \ employés » est un groupe de la structure de Répertoire actif qui s'assortit. Ceci signifie que les informations de Connectivité et de recherche sont fonctionnelles.



    Le même essai peut être réalisé pour des utilisateurs. Écrivez quelques caractères du nom d'affichage d'un utilisateur de Répertoire actif connu, et attendez de voir si le Pare-feu de la deuxième génération affiche le nom terminé d'affichage. S'il fait, le système est très probablement fonctionnel.



  5. Après que le test soit complet, annulation hors des écrans d'objet et de configuration de politique.

Dépannez

Intégration de Répertoire actif de cause de problèmes de configuration DNS à échouer

Si la résolution de Système de noms de domaine (DNS) pour le nom configuré pour le domaine échoue, l'intégration de Répertoire actif échoue. Connexion d'un message la « a manqué avec l'erreur : Join affichages a renvoyé DNS_ERROR_BAD_PACKET des » quand vous cliquez sur la connexion de test :

Si le Pare-feu de la deuxième génération ne peut pas résoudre l'adresse IP pour le domaine configuré, vérifiez les configurations de DN sur le Pare-feu de la deuxième génération avec les dn et les commandes nslookup d'exposition afin de confirmer que l'adresse Internet est résoluble par le périphérique et que les configurations de DN sont correctes.

Problèmes de connexion réseau entre le Pare-feu de la deuxième génération et le serveur de Répertoire actif

Si le Pare-feu de la deuxième génération ne peut pas se connecter au serveur de Répertoire actif (dû à un problème de réseau ou à un paramètre du pare-feu sur l'ordinateur), l'intégration échoue. Ceci pourrait sont provoqué par si la Connectivité sur le port TCP 389 est bloquée par un périphérique (tel qu'un Pare-feu ou un routeur) entre le Pare-feu de la deuxième génération et le serveur de Répertoire actif.

Connexion d'un message la « a manqué avec l'erreur : Join affichages a renvoyé NERR_DCNotFound des » quand vous cliquez sur la connexion de test :

Si vous voyez ce message :

  • Confirmez que le Pare-feu de la deuxième génération a la connectivité IP de base au serveur avec le ping, le nslookup et les commandes traceroute du CLI.
  • Vérifiez que le Pare-feu configuré sur le serveur de Répertoire actif est configuré afin de bloquer la Connectivité du Pare-feu de la deuxième génération sur le port TCP 389.
  • Captures de paquet de prise sur le serveur de Répertoire actif et le réseau afin de déterminer quel périphérique pourrait bloquer l'accès.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117377