Seguridad : Cisco ASA Next-Generation Firewall Services

Ejemplo de configuración de la integración de Active Directory del Firewall de la última generación (CX)

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo determinar información del Lightweight Directory Access Protocol (LDAP) de la búsqueda apropiada del usuario y del grupo cuando usted configura el Firewall de la última generación (CX o Firewall del contexto) con el administrador de seguridad primero (PRSM) para las características de la identidad. Cuando usted configura las directivas de la identidad dentro de PRSM, si la información de la base de la búsqueda del usuario del directorio y del grupo no se ingresa correctamente, el dispositivo no podrá mirar correctamente para arriba al usuario y la información del grupo y algunas directivas pudieron no poder aplicarse correctamente. Este documento dirige al usuario con la determinación información de la búsqueda correcta del usuario y del grupo para una directiva del Active Directory y muestra cómo confirmar si el CX puede realizar con éxito las búsquedas del usuario y del grupo.

Contribuido por Jay Johnston, Prapanch Ramamoorthy, y el kevin Klous, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el Firewall de la última generación con la Administración del en-cuadro PRSM, versión 9.2.1.2(52).

Nota: Este documento asume que las directivas de la autenticación y del usuario y del grupo serán realizadas usando un controlador de dominio del Microsoft Active Directory.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Este documento describe dos tipos de configuraciones, que son la configuración del reino y la configuración del directorio.

La configuración del reino

El reino es un envase en el cual colocan a los servidores de autenticación. Para más información sobre los reinos del directorio, vea la descripción de la sección de reinos del directorio del guía del usuario para ASA CX y del administrador de seguridad primero 9.2 de Cisco.

Ejemplo:

En la versión 9.2 PRSM, elija las configuraciones > el reino del directorio.

Nota: El dominio primario debe ser minúscula debido al Id. de bug Cisco CSCum53396 - ASA CX no maneja la Distinción entre mayúsculas y minúsculas para los Domain Name correctamente.

La configuración del directorio

Dentro del reino configurado, un directorio debe ser creado que representa al servidor LDAP (el servidor Active Directory).

La “base de la búsqueda de usuario” y “base de la búsqueda del grupo” se deben correctamente configurar basada sobre la estructura de Active Directory específica, o las directivas basadas en el usuario y basadas en el grupo pudieron fallar. Refiera a la información en esta sección para determinar los valores apropiados para estos campos en su entorno.

Ejemplo:

Determine la base de la búsqueda de usuario

Para determinar la base de la búsqueda de usuario, complete estos pasos:

  1. Inicie sesión al servidor Active Directory como administrador de dominio.

  2. Abra un comando prompt (elija el Start (Inicio) > Run (Ejecutar) y ingrese el cmd).

  3. Ingrese el comando del dsquery para determinar el nombre bajo de la visualización (DN) para un usuario conocido. Ingrese algo de esa información en la pantalla de la configuración del directorio dentro del administrador de seguridad primero.

En este ejemplo, el comando del dsquery se ingresa para buscar para los usuarios que tienen un DN que comience con “Jay”. El uso del “*” el comodín con el comando devuelve la información para todos los usuarios con un DN que comienza con “Jay”:

Esta salida se puede utilizar para determinar la estructura del LDAP para la base de la búsqueda de usuario dentro del administrador de seguridad primero.

Este ejemplo utiliza “DC=csc-lab, DC=ciscotac, dc=com” como la base apropiada de la búsqueda de usuario para la configuración del directorio en PRSM.

Determine la base de la búsqueda del grupo

El procedimiento para determinar la base de la búsqueda del grupo es similar al procedimiento determinar la base de la búsqueda de usuario.

  1. Login al servidor Active Directory como administrador de dominio.

  2. Abra un comando prompt (elija el Start (Inicio) > Run (Ejecutar) y ingrese el cmd).

  3. Para determinar la base DN para un grupo conocido, ingrese el comando del dsquery. Ingrese esa información sobre la pantalla de la configuración del directorio.

En este ejemplo, nombran al grupo actual los “empleados.” Por lo tanto, usted puede utilizar el comando del dsquery para determinar el DN para ese grupo específico:

Esta salida se utiliza para determinar la estructura del LDAP para la base de la búsqueda del grupo.

En este caso, la información “DC=csc-lab, DC=ciscotac, dc=com” es una base apropiada de la búsqueda de usuario para la configuración del directorio.

Esta imagen muestra cómo la salida de los comandos del dsquery se puede asociar información de la base a la búsqueda del usuario del directorio y del grupo:

Determine el nombre distintivo de otros objetos en el Active Directory - el ADSI edita

Si usted necesita hojear su estructura de Active Directory para mirar para arriba los nombres distintivos para utilizar para base de su búsqueda del usuario o del grupo, usted puede utilizar una herramienta llamada el ADSI edita que se incorpora a los reguladores del dominio de Active Directory. Para abrir el ADSI edite, elija el Start (Inicio) > Run (Ejecutar) en su controlador de dominio del Active Directory y ingrese adsiedit.msc.

Una vez que usted está en el ADSI edite, haga clic con el botón derecho del ratón cualquier objeto (tal como una unidad organizativa (OU), agrupe, o usuario) y elija las propiedades para ver el nombre distintivo de ese objeto. Usted puede entonces copiar y pegar fácilmente la cadena a su configuración CX en PRSM para evitar cualquier error tipográfico. Vea este tiro de pantalla para más específicos en este proceso:

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Verifique la conectividad de red al servidor Active Directory

Para verificar la conectividad de red básica entre el Firewall de la última generación y el servidor Active Directory, Haga clic en Probar conexión.

Nota: La conexión de prueba verifica simplemente que el Firewall de la última generación pueda mirar para arriba la dirección IP para el Nombre del host del directorio configurado y establecer una conexión TCP a esa dirección IP en el puerto 389 del TCP de destino. No confirma que el Firewall de la última generación puede preguntar al servidor Active Directory y realizar las operaciones de búsqueda del usuario real y del grupo.

Verifique las operaciones de búsqueda del usuario y del grupo con el Active Directory

Para verificar que la información de identidad esté correcta, realice una prueba simple para accionar el Firewall de la última generación para realizar una búsqueda LDAP con las bases configuradas del usuario y de la búsqueda del grupo.

Antes de que usted pruebe, asegúrese de que todos los cambios de configuración se hayan desplegado al dispositivo.

  1. Elija las configuraciones > las directivas/las configuraciones.

  2. Cree una nueva directiva (esta directiva no será guardada). De la lista desplegable de la fuente, elija crean el nuevo objeto.

  3. En el campo de nombre, ingrese un nombre del objeto. De la lista desplegable del tipo de objeto, elija el objeto de la identidad CX.

  4. En los grupos coloque, ingrese algunos caracteres contenidos en un grupo sabido del Active Directory. Si el Firewall de la última generación proporciona una lista desplegable de grupos del Active Directory que hagan juego ésos configurados en el servidor, éste significa que el Firewall de la última generación podía preguntar al servidor LDAP y ha encontrado al grupo en la estructura LDAP, así que la configuración es funcional.

    Esta imagen muestra que si usted ingresa las letras Emp en los grupos coloque, el valor “CiscoTAC \ empleados” es un grupo de la estructura de Active Directory que corresponde con. Esto significa que la información de la Conectividad y de la búsqueda es funcional.



    La misma prueba se puede realizar para los usuarios. Ingrese algunos caracteres del nombre de la visualización de un usuario de Active Directory conocido, y espere para ver si el Firewall de la última generación muestra el nombre completado de la visualización. Si hace, el sistema es muy probablemente funcional.



  5. Después de que la prueba sea completa, las pantallas del objeto de los de la cancelación y de la configuración de la política.

Troubleshooting

Integración de Active Directory de la causa de los problemas de la Configuración de DNS a fallar

Si la resolución del Domain Name System (DNS) para el nombre configurado para el dominio falla, la integración de Active Directory falla. Conexión de un mensaje “fallada con el error: Join volvió visualizaciones DNS_ERROR_BAD_PACKET las” cuando usted Haga clic en Probar conexión:

Si el Firewall de la última generación no puede resolver la dirección IP para el dominio configurado, marque las configuraciones DNS en el Firewall de la última generación con la demostración dns y los comandos nslookup para confirmar que el nombre de host es resolvable por el dispositivo y que las configuraciones DNS están correctas.

Problemas de conectividad de red entre el Firewall de la última generación y el servidor Active Directory

Si el Firewall de la última generación no puede conectar con el servidor Active Directory (debido a un problema de red o a una configuración del Firewall en la máquina), la integración falla. Esto podría ser causada si la Conectividad en el puerto TCP 389 es bloqueada por un dispositivo (tal como un Firewall o un router) entre el Firewall de la última generación y el servidor Active Directory.

Conexión de un mensaje “fallada con el error: Join volvió visualizaciones de NERR_DCNotFound las” cuando usted Haga clic en Probar conexión:

Si usted ve este mensaje:

  • Confirme que el Firewall de la última generación tiene conectividad de IP básica al servidor con el ping, el nslookup y los comandos traceroute del CLI.
  • Verifique que el Firewall configurado en el servidor Active Directory esté configurado para bloquear la Conectividad del Firewall de la última generación en el puerto TCP 389.
  • Tome a las capturas de paquetes en el servidor Active Directory y la red para determinar qué dispositivo pudo bloquear el acceso.

Información Relacionada



Document ID: 117377