Безопасность : сервисы межсетевого экрана следующего поколения Cisco ASA

Межсетевой экран следующего поколения (CX) Пример конфигурации интеграции Active Directory

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как определить соответствующую информацию о поиске Пользователя и Группы Протокола LDAP, когда вы настраиваете Межсетевой экран Следующего поколения (CX или Межсетевой экран Контекста) с Главным Менеджером безопасности (PRSM) для Идентификационных функций. При настройке политик идентификации в PRSM если информация о Каталоге пользователя и Базе поиска группы не будет введена правильно, то устройство не будет в состоянии правильно Пользователю поиска и информации о Группе, и некоторая политика могла бы быть не в состоянии применяться правильно. Этот документ направляет пользователя посредством определения корректной информации о поиске Пользователя и Группы для политики Active Directory и показывает, как подтвердить, может ли CX успешно выполнить поиски Пользователя и Группы.

Внесенный Джеем Джонстоном, Prapanch Ramamoorthy, и Кевином Клусом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Межсетевом экране Следующего поколения с управлением PRSM на коробке, Версией 9.2.1.2 (52).

Примечание: Этот документ предполагает, что аутентификация и пользователь и групповые политики будут выполнены с помощью Контроллера домена Microsoft Active Directory.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Этот документ описывает два типа конфигураций, которые являются Конфигурацией именованной области (Realm) и Конфигурацией каталога.

Конфигурация именованной области (Realm)

Именованная область (Realm) является контейнером, в который размещены серверы проверки подлинности. Для получения дополнительной информации об именованных областях (Realm) Каталога см. Обзор раздела именованных областей (Realm) Каталога Руководства пользователя для CX ASA и Cisco Главный Менеджер безопасности 9.2.

Пример

В Версии 9.2 PRSM выберите Configurations> Directory Realm.

Примечание: Основной домен должен быть нижним регистром из-за идентификатора ошибки Cisco CSCum53396 - CX ASA не обрабатывает учет регистра для доменных имен правильно.

Конфигурация каталога

В настроенной именованной области (Realm) Каталог должен быть создан, который представляет Сервер LDAP (Сервер Active Directory).

'Ядро поиска пользователей' и 'База поиска группы' должны быть правильно настроены основанные на определенной структуре Active Directory, или основанная на пользователе и основанная на группе политика могла бы отказать. Обратитесь к информации в этом разделе для определения соответствующих значений для этих полей в среде.

Пример

Определите ядро поиска пользователей

Для определения ядра поиска пользователей выполните эти шаги:

  1. Войдите к Серверу Active Directory как администратор домена.

  2. Откройтесь командная строка (выберите Start> Run и введите cmd).

  3. Введите команду dsquery для определения основного Названия показа (DN) для известного пользователя. Введите часть той информации в экран Конфигурации каталога в Главном Менеджере безопасности.

В данном примере команда dsquery введена для поиска пользователей, у которых есть DN, который начинается с 'Джея'. Использование '*' подстановочный знак с командой возвращает информацию для всех пользователей с DN начиная с 'Сойки':

Эти выходные данные могут использоваться для определения структуры LDAP для ядра Поиска пользователей в Главном Менеджере безопасности.

Данный пример использует 'DC=csc-lab, DC=ciscotac, DC=com' как соответствующее ядро Поиска пользователей для конфигурации каталога в PRSM.

Определите базу поиска группы

Процедура для определения Базы поиска группы подобна процедуре для определения ядра Поиска пользователей.

  1. Войдите к Серверу Active Directory как администратор домена.

  2. Откройтесь командная строка (выберите Start> Run и введите cmd).

  3. Для определения основного DN для известной группы введите команду dsquery. Введите ту информацию об экране Конфигурации каталога.

В данном примере текущую группу называют 'Сотрудниками'. Поэтому можно использовать команду dsquery для определения DN для той определенной группы:

Эти выходные данные используются для определения структуры LDAP для Базы поиска группы.

В этом случае информацией 'DC=csc-lab, DC=ciscotac, DC=com' является соответствующее ядро Поиска пользователей для конфигурации каталога.

Этот образ показывает, как выходные данные команд dsquery могут быть сопоставлены с информацией о Каталоге пользователя и Базе поиска группы:

Определите составное имя других объектов в Active Directory - ADSI редактирует

Если необходимо просмотреть структуру Active Directory, чтобы к составным именам поиска для использования для Пользователя или Базы поиска группы можно использовать программное средство, названное ADSI, Редактируют, который встроен в Контроллеры доменов Active Directory. Для открытия, ADSI Редактируют, выбирают Start> Run на Контроллере доменов Active Directory и вводят adsiedit.msc.

Как только вы находитесь в ADSI, Редактируют, щелкают правой кнопкой мыши по любому объекту (такому как подразделение (OU), группа или пользователь) и выбирают Properties для просмотра составного имени того объекта. Можно тогда легко скопировать и вставить строку к конфигурации CX в PRSM во избежание любых опечаток. Посмотрите этот снимок экрана для больших специфических особенностей этого процесса:

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Проверьте сетевое подключение к серверу Active Directory

Для подтверждения базового сетевого подключения между Межсетевым экраном Следующего поколения и Сервером Active Directory, нажмите Тестовое подключение.

Примечание: Тестовое подключение просто проверяет, что Межсетевой экран Следующего поколения может поиск IP-адрес для настроенного имени хоста каталога и устанавливать TCP - подключение к тому IP-адресу на порту TCP - получателя 389. Это не подтверждает, что Межсетевой экран Следующего поколения в состоянии сделать запрос Сервера Active Directory и выполнить поиски группы и реальный пользователь.

Проверьте поиск пользователя и группы с Active Directory

Чтобы проверить, что Идентификационная информация корректна, выполните простой тест для вызова Межсетевого экрана Следующего поколения для выполнения поиска LDAP с настроенным пользователем и Базами поиска группы.

Прежде чем вы протестируете, гарантируете, что все изменения конфигурации были развернуты на устройстве.

  1. Выберите Configurations> Policies/Settings.

  2. Создайте новую политику (эта политика не будет сохранена). От Исходного выпадающего списка выберите Create новый объект.

  3. В Поле имени введите имя объекта. От выпадающего списка Типа объекта выберите объект Identity CX.

  4. В поле Groups введите несколько символов, содержавшихся в известной Группе Active Directory. Если Межсетевой экран Следующего поколения предоставляет выпадающий список Групп Active Directory, которые совпадают с настроенными на сервере, это означает, что Межсетевой экран Следующего поколения смог сделать запрос Сервера LDAP и нашел группу в структуре LDAP, таким образом, конфигурация функциональна.

    Этот образ показывает, что при вводе букв Emp в поле Groups значение 'CiscoTAC\Employees' является группой от структуры Active Directory, которая совпадает. Это означает подключение, и поисковая информация функциональна.



    Тот же тест может быть выполнен для Пользователей. Введите несколько символов Имени Показа известного Пользователя Active Directory и ждите, чтобы видеть, показывает ли Межсетевой экран Следующего поколения завершенное Название Показа. Если это делает, система наиболее вероятно функциональна.



  5. После того, как тестирование завершено, отмена из экранов конфигурации политики и объекта.

Устранение неполадок

Проблемная интеграция Active Directory причины конфигурации DNS для сбоя

Если разрешение Системы доменных имен (DNS) для настроенного Названия для доменных сбоев, сбоев Интеграции Active Directory. Сообщение 'Соединение отказало с ошибкой: Соединение возвратило DNS_ERROR_BAD_PACKET' показы при нажатии Test Connection:

Если Межсетевой экран Следующего поколения не может решить, что IP-адрес для настроенного домена, проверяет параметры настройки DNS на Межсетевом экране Следующего поколения с командами dns и nslookup показа, чтобы подтвердить, что имя хоста разрешимо устройством и что параметры настройки DNS корректны.

Сбои сетевого подключения между межсетевым экраном следующего поколения и сервером Active Directory

Если Межсетевой экран Следующего поколения неспособен соединиться с Сервером Active Directory (из-за проблемы сети или параметра межсетевого экрана на машине), сбои интеграции. Если подключение на порту TCP 389 заблокировано устройством (таким как межсетевой экран или маршрутизатор) между Межсетевым экраном Следующего поколения и Сервером Active Directory, это могло быть вызвано.

Сообщение 'Соединение отказало с ошибкой: Соединение возвратило NERR_DCNotFound' показы при нажатии Test Connection:

Если вы видите это сообщение:

  • Подтвердите, что Межсетевой экран Следующего поколения имеет базовое IP - подключение к серверу с командами эхо-запросом, nslookup and traceroute от CLI.
  • Проверьте, что межсетевой экран, настроенный на Сервере Active Directory, настроен для блокирования подключения от Межсетевого экрана Следующего поколения на порту TCP 389.
  • Возьмите захваты пакета на Сервере Active Directory и сети для определения, какое устройство могло бы блокировать доступ.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.