安全 : Cisco ASA 下一代防火墙服务

下一代防火墙(CX)激活目录集中配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何确定适当的轻量级目录访问协议(LDAP)用户和组搜索信息,当您配置下一代防火墙(CX或上下文防火墙)时与头等安全经理(PRSM)标识功能的。当您配置在PRSM内的标识策略,如果目录用户和组搜索库信息没有正确地输入,设备不能正确地查寻用户,并且组信息和一些策略也许不能正确地应用。本文指南用户通过正确用户的确定和组搜索信息活动目录策略并且显示如何确认CX是否可顺利地执行用户和组搜索。

贡献用杰伊约翰斯顿, Prapanch Ramamoorthy和凯文Klous, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据与在箱上PRSM管理的下一代防火墙,版本9.2.1.2(52)。

注意:本文假设使用Microsoft Active Directory域控制器,验证和用户和组策略将执行。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

本文描述配置的两种类型,是领域配置和目录配置。

领域配置

领域是认证服务器安置的容器。关于目录领域的更多信息,请参阅目录用户指南关于ASA CX和思科头等安全经理9.2的区段概述

示例

在PRSM版本9.2,请选择配置>目录领域

注意:主域应该是小写由于Cisco Bug ID CSCum53396 - ASA CX不正确地处理域名的大小写敏感。

目录配置

在已配置的领域内的目录代表LDAP服务器必须创建(激活目录服务器)。

必须正确地配置‘用户搜索库’和‘组搜索库’基于特定活动目录结构,或者基于用户的和基于组的策略也许发生故障。参考在此部分的信息为了确定这些字段的适当的值您的环境的。

示例

确定用户搜索库

为了确定用户搜索库,请完成这些步骤:

  1. 登陆到激活目录服务器作为域管理员。

  2. 打开prompt命令(请选择Start > Run并且输入cmd)。

  3. 输入dsquery命令为了确定基本显示名称(DN)对于已知用户。输入一些该信息到在头等安全经理内的目录配置屏幕。

在本例中, dsquery命令被输入为了搜索有DN开始与‘杰伊’的用户。使用‘*’通配符用命令返回有DN的开始与‘杰伊的’所有用户的信息:

此输出可以用于为了确定用户搜索库的LDAP结构在头等安全经理内。

此示例使用‘DC=csc-lab, DC=ciscotac, Dc=com’作为适当的用户搜索库目录配置在PRSM。

确定组搜索库

确定组搜索库的步骤类似于步骤确定用户搜索库。

  1. 激活目录服务器的洛金作为域管理员。

  2. 打开prompt命令(请选择Start > Run并且输入cmd)。

  3. 为了确定已知组的基础DN,请输入dsquery命令。输入关于目录配置屏幕的信息。

在本例中,当前组被命名‘员工’。所以,您能使用dsquery命令为了确定该特定组的DN :

此输出用于为了确定组搜索库的LDAP结构。

在这种情况下,信息‘DC=csc-lab, DC=ciscotac, Dc=com’是目录配置的一适当的用户搜索库。

此镜像显示dsquery命令的输出如何可以被映射到目录用户和组搜索库信息:

确定其他对象辨别名称在活动目录的- ADSI编辑

如果需要浏览您的活动目录结构为了查寻辨别名称使用您的用户或组搜索库,您能使用呼叫被构件到活动目录域控制器的ADSI的工具编辑。为了打开ADSI请编辑,选择在您的活动目录域控制器的Start > Run并且输入adsiedit.msc。

一旦是在ADSI请编辑,用鼠标右键单击所有对象(例如组织单位(OU),请分组或者用户)并且选择属性为了查看该对象辨别名称。您能容易地然后复制和插入字符串到您的在PRSM的CX配置为了避免所有印刷错误。请参阅此屏幕画面欲知更详细在此进程的:

验证

使用本部分可确认配置能否正常运行。

验证网络连通性到激活目录服务器

为了验证下一代防火墙和激活目录服务器之间的基本网络连接,请点击测试连接

注意:测试连接验证下一代防火墙能为中配置的电话主机名查寻IP地址和建立对该IP地址的TCP连接在目的地TCP端口389。它不确认下一代防火墙能查询激活目录服务器和执行实际用户和组查找。

验证与活动目录的用户和组查找

为了验证身份信息正确,请执行一个简单测试触发下一代防火墙执行LDAP搜索与已配置的用户和组搜索基础。

在您测试前,请保证所有配置更改部署对设备。

  1. 选择配置>策略/设置

  2. 创建一项新的策略(此策略不会保存)。从来源下拉列表,请选择创建新的对象

  3. 在Name字段,请输入对象名。从对象类型下拉列表,请选择CX标识对象

  4. 在组字段,请输入在已知活动目录组中包含的一些个字符。如果下一代防火墙提供的活动目录组一张下拉列表匹配在服务器配置的那些,这意味着下一代防火墙能查询LDAP服务器和寻找LDAP结构的组,因此配置是工作。

    此镜像显示,如果在组字段输入字母Emp,值‘Ciscotac \员工的是从配比的活动目录结构的一组。这意味着连接和搜索信息是工作。



    同一测验可以为用户被执行。进入已知活动目录用户的显示名称的一些个字符,并且等待发现下一代防火墙是否显示完成显示名称。如果它,系统很可能是工作。



  5. 在测试完成后,在对象和策略配置屏幕外面的取消。

故障排除

DNS配置问题造成激活目录集中发生故障

如果已配置的名称的域名系统(DNS)解决方法对于域发生故障,激活目录集中发生故障。消息‘连接失败与错误:当您点击测试连接时,请加入返回的DNS_ERROR_BAD_PACKET’显示:

如果下一代防火墙不能解决配置的域的IP地址,请用显示dnsnslookup命令检查在下一代防火墙的DNS设置为了确认主机名由设备是可解决,并且DNS设置正确。

在下一代防火墙和激活目录服务器之间的网络连接问题

如果下一代防火墙无法连接到激活目录服务器(由于一个网络问题或一个防火墙设置在计算机),集成发生故障。这可能导致,如果在TCP端口389的连接由一个设备阻塞(例如防火墙或路由器)在下一代防火墙和激活目录服务器之间。

消息‘连接失败与错误:当您点击测试连接时,请加入返回的NERR_DCNotFound’显示:

如果看到此消息:

  • 确认下一代防火墙有基本IP连接到服务器用pingnslookuptraceroute命令从CLI。
  • 验证在激活目录服务器配置的防火墙配置为了阻塞从下一代防火墙的连接在TCP端口389。
  • 采取激活目录服务器和网络的数据包捕获为了确定什么设备也许阻塞访问。

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117377