セキュリティ : Cisco ASA Next-Generation Firewall Services

次世代ファイアウォール(CX)アクティブディレクトリ統合 設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

識別機能のための主な Security Manager (PRSM)で次世代ファイアウォールを(CX かコンテキスト ファイアウォール)設定するときこの資料に適切な Lightweight Directory Access Protocol (LDAP) ユーザおよびグループ検索判別する方法を情報記述されています。 PRSM 内の識別ポリシーを設定する場合、ディレクトリ ユーザおよびグループ検索ベース情報が正しく入力されない場合、デバイスはユーザを調べられない正しくし、情報およびいくつかのポリシーをグループ化することはかもしれません正しく適用しないために。 この資料は正しいユーザの判断によってユーザをガイドし、アクティブ ディレクトリ ポリシーのための検索情報をグループ化し、CX が正常にユーザを行い、検索をグループ化できるかどうか確認する方法を示します。

ジェイ ジョンソン、Prapanch Ramamoorthy、およびケビン Klous によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この文書に記載されている情報はオン ボックス PRSM 管理との次世代ファイアウォールに、バージョン 9.2.1.2(52)基づいています。

: この資料は認証およびユーザおよびグループ ポリシーが Microsoft Active Directory ドメインコントローラを使用して実行されたと仮定します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

この資料はレルム 設定およびディレクトリ設定であるコンフィギュレーションの 2 つの型を記述したものです。

レルム 設定

レルムは認証サーバが置かれるコンテナーです。 ディレクトリ レルムに関する詳細については、ASA CX および Cisco Prime Security Manager 9.2 についてはユーザガイドディレクトリ領域節の外観を参照して下さい。

PRSM バージョン 9.2 で、コンフィギュレーション > ディレクトリ レルムを選択して下さい。

: プライマリ ドメインは- ASA CX 正しく処理しませんドメイン名のための大文字と小文字の区別を Cisco バグ ID CSCum53396 による小文字であるはずです。

ディレクトリ設定

LDAPサーバ(アクティブディレクトリサーバ)を表す設定されたレルムの中では、ディレクトリは作成する必要があります。

「ユーザ の 検索ベースが」および「グループ検索ベース」は正しく特定のアクティブ ディレクトリ 構造に基づいて設定するユーザベースおよびグループ ベース ポリシーは失敗するかもしれません。 環境のこれらのフィールドの適切な値を判別するためにこのセクションの情報を参照して下さい。

ユーザ の 検索ベースを判別して下さい

ユーザ の 検索ベースを判別するために、これらのステップを完了して下さい:

  1. ドメイン管理者としてアクティブディレクトリサーバへのログイン。

  2. コマンド プロンプトを開いて下さい(cmd を Start > Run の順に選択 し、入力して下さい)。

  3. 既知 ユーザ向けの基礎表示名(DN)を判別するために dsquery コマンドを入力して下さい。 主な Security Manager 内のディレクトリ設定 画面にその情報のいくつかを入力して下さい。

この例では「ジェイから」始まる DN があるユーザを捜すために、dsquery コマンドは入力されます。 の使用「*」コマンドでワイルドカードは「ジェイから」開始する DN のすべてのユーザ向けの情報を返します:

この出力は主な Security Manager 内のユーザ の 検索ベースのための LDAP 構造を判別するために使用することができます。

この例は PRSM でディレクトリ設定のために適切なユーザ の 検索ベースとして「DC=csc-lab、DC=ciscotac、DC=com」を使用します。

グループ検索ベースを判別して下さい

グループ検索ベースを判別するプロシージャはプロシージャに類似した ユーザ の 検索ベースを判別するためにです。

  1. ドメイン管理者としてアクティブディレクトリサーバへのログイン。

  2. コマンド プロンプトを開いて下さい(cmd を Start > Run の順に選択 し、入力して下さい)。

  3. 既知 グループのためのベース DN を判別するために、dsquery コマンドを入力して下さい。 ことディレクトリ設定 画面の情報入力して下さい。

この例では、現在のグループは指名されます「従業員」。と 従って、その特定のグループのための DN を判別するために dsquery コマンドを使用できます:

この出力はグループ検索ベースのための LDAP 構造を判別するために使用されます。

この場合、情報「DC=csc-lab、DC=ciscotac、DC=com」はディレクトリ設定のための適切なユーザ の 検索ベースです。

このイメージは dsquery コマンドの出力がディレクトリ ユーザおよびグループ検索にどのようにベース情報 マッピング することができるか示します:

アクティブ ディレクトリの他のオブジェクトの識別名を判別して下さい- ADSI は編集します

識別名を調べるためにユーザまたはグループ検索用の使用するためにベース アクティブ ディレクトリ 構造を参照する必要がある場合、編集しますアクティブ ディレクトリ ドメインコントローラに構築される ADSI と呼ばれるツールを使用できます。 ADSI を開くために編集し、アクティブ ディレクトリ ドメインコントローラで Start > Run の順に選択 し、adsiedit.msc を入力して下さい

ADSI にあったら編集し、オブジェクトを(Organizational Unit (OU)のような、またはユーザ グループ化して下さい)右クリックし、そのオブジェクトの識別名を表示するために『Properties』 を選択 して下さい。 PRSM の CX 設定にそれから容易に誤植を防ぐためにストリングをコピー アンド ペーストできます。 このプロセスの詳細についてはこのスクリーン ショットを参照して下さい:

確認

このセクションでは、設定が正常に機能していることを確認します。

アクティブディレクトリサーバにネットワーク接続を確認して下さい

次世代ファイアウォールとアクティブディレクトリサーバ間の基本的なネットワーク接続を確認するために、接続を『Test』 をクリック して下さい。

: テスト接続は次世代ファイアウォールが設定されたディレクトリ ホスト名のための IP アドレスを調べ、宛先TCP ポート 389 のその IP アドレスへの TCP 接続を確立できることを単に確認します。 次世代ファイアウォールがアクティブディレクトリサーバを問い合わせ、実際のユーザを行い、ルックアップをグループ化できることを確認しません。

ユーザを確認し、アクティブ ディレクトリとのルックアップをグループ化して下さい

ID情報が正しいことを確認するために、次世代ファイアウォールを設定されたユーザおよびグループ検索ベースと LDAP 検索を行うために引き起こすように簡単 な テストを行って下さい。

テストする前に、すべてのコンフィギュレーション変更がデバイスに展開されたことを確認して下さい。

  1. コンフィギュレーション > ポリシー/設定を選択して下さい。

  2. 新しいポリシーを作成して下さい(このポリシーは保存されません)。 ソース ドロップダウン リストから、新しいオブジェクトを『Create』 を選択 して下さい。

  3. Name フィールドでは、オブジェクト名を入力して下さい。 オブジェクト タイプ ドロップダウン リストから、CX 識別オブジェクトを選択して下さい。

  4. Groups フィールドでは、既知 アクティブ ディレクトリ グループに含まれている少数の文字を入力して下さい。 次世代ファイアウォールがサーバで設定されたそれらを一致する アクティブ ディレクトリ グループのドロップダウン リストを提供すればこれは次世代ファイアウォールが LDAPサーバを問い合わせられた意味し、LDAP 構造のグループを見つけました、従って設定は機能ですことを。

    このイメージは Groups フィールドで文字 Emp を入力すれば、一致する値「CiscoTAC \従業員」はアクティブ ディレクトリ 構造からのグループであることを示します。 これは接続および検索情報が機能であることを意味します。



    同じテストはユーザ向けに実行されたことができます。 既知 アクティブ ディレクトリ ユーザの表示名の少数の文字を入力し、次世代ファイアウォールが完了された表示名を示すかどうか見るために待って下さい。 それが場合、システムは多分機能です。



  5. テストが完了する後、オブジェクトおよびポリシー 設定画面から取り消して下さい。

トラブルシューティング

DNS コンフィギュレーションに関する問題によりアクティブディレクトリ統合は失敗します

ドメインの設定された名前のための Domain Name System (DNS)解決が失敗した場合、アクティブディレクトリ統合は失敗します。 メッセージ「接続はエラーと失敗しました: 加入は接続を『Test』 をクリック するとき DNS_ERROR_BAD_PACKET」ディスプレイ戻しました:

次世代ファイアウォールが設定されるドメインのための IP アドレスを解決できない場合確認するために提示 dns および nslookup コマンドで次世代ファイアウォールの DNS 設定をことホスト名チェックして下さい- DNS 設定が正しいことをデバイスによって解決可能、そしてです。

次世代ファイアウォールとアクティブディレクトリサーバ間のネットワーク接続上の問題

次世代ファイアウォールがアクティブディレクトリサーバに(マシンのネットワーク上の問題かファイアウォール設定による)接続することができなければ統合は失敗します。 これは TCPポート 389 の接続が次世代ファイアウォールとアクティブディレクトリサーバ間のデバイスによって(ファイアウォールかルータのような)ブロックされる場合引き起こすことができます。

メッセージ「接続はエラーと失敗しました: 加入は接続を『Test』 をクリック するとき NERR_DCNotFound」ディスプレイ戻しました:

このメッセージが表示されれば:

  • 次世代ファイアウォールに CLI からの PINGnslookup および traceroute コマンドでサーバに基本的なIP接続があることを確認して下さい。
  • アクティブディレクトリサーバで設定される TCPポート 389 の次世代ファイアウォールからの接続をブロックするためにファイアウォールが設定されることを確認して下さい。
  • どんなデバイスがアクセスをブロックするかもしれませんか判別するためにアクティブディレクトリサーバおよびネットワークのパケットキャプチャを奪取 して下さい。

関連情報



Document ID: 117377