Configurer Firepower Management Center et FTD avec LDAP pour l'authentification externe

Options de téléchargement

  • PDF     (2.8 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (3.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 juillet 2020
ID du document:215538

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment activer l'authentification externe LDAP (Lightweight Directory Access Protocol) de Microsoft avec Cisco Firepower Management Center (FMC) et Firepower Threat Defense (FTD).

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes

    • Cisco Firepower Threat Defense (FTD)
    • Cisco Firepower Management Center (FMC)
    • Protocole LDAP (Microsoft Lightweight Directory Access Protocol)

    Components Used

    • Firepower Threat Defense 6.5.0-123
    • Firepower Management Center 6.5.0-115
    • Microsoft Server 2012

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Le FMC et les périphériques gérés incluent un compte d'administrateur par défaut pour l'accès à la gestion. Vous pouvez ajouter des comptes utilisateur personnalisés sur Firepower Management Center et sur les périphériques gérés, soit en tant qu'utilisateurs internes, soit, si pris en charge pour votre modèle, en tant qu'utilisateurs externes sur un serveur LDAP ou RADIUS. L'authentification des utilisateurs externes est prise en charge pour Firepower Management Center et Firepower Threat Defense.

    · utilisateur interne : le périphérique FMC/FTD vérifie l'authentification des utilisateurs dans une base de données locale.

    · utilisateur externe : si l'utilisateur n'est pas présent dans la base de données locale, les informations système d'un serveur d'authentification LDAP ou RADIUS externe pour remplir sa base de données utilisateur.

    Diagramme du réseau

    Configuration

    1. Configuration LDAP de base dans l'interface utilisateur FMC

    Étape 1. Accédez à Système » Utilisateurs » Authentification externe :

    Étape 2. Sélectionnez Ajouter un objet d'authentification externe :

    Étape 3. Renseignez les champs obligatoires :

    Étape 4.Activez l'objet d'authentification externe et enregistrez :

    2. Accès Shell pour les utilisateurs externes

    FMC prend en charge deux utilisateurs d'administration internes différents : l'une pour l'interface web et l'autre avec accès CLI. Cela signifie qu'il existe une distinction claire entre qui peut accéder à l'interface utilisateur graphique et qui peut également accéder à l'interface de ligne de commande. Au moment de l'installation, le mot de passe de l'utilisateur admin par défaut est synchronisé pour être le même sur l'interface utilisateur graphique et l'interface de ligne de commande, mais ils sont suivis par différents mécanismes internes et peuvent éventuellement être différents.

    Les utilisateurs externes LDAP doivent également bénéficier d'un accès shell.

    Étape 1. Accédez à Système » Utilisateurs » Authentification externe » Cliquez sur la zone de liste déroulante Authentification de l'interpréteur de commandes comme l'indique l'image et enregistrez :

    Étape 2. Déployer les modifications dans FMC.

    Une fois que l'accès au shell pour les utilisateurs externes est configuré, la connexion via SSH est activée comme le montre l'image :

    3. Authentification externe vers FTD

    L'authentification externe peut être activée sur FTD

    Étape 1. Accédez à Périphériques » Paramètres de la plate-forme » Authentification externe » Sélectionnez Activé et enregistrez :

    4. Rôles utilisateur

    Les privilèges utilisateur sont basés sur le rôle d'utilisateur assigné. Vous pouvez également créer des rôles d'utilisateur personnalisés avec des privilèges d'accès adaptés aux besoins de votre organisation ou utiliser des rôles prédéfinis tels que Security Analyst et Discovery Admin.

    Il existe deux types de rôles d'utilisateur :

    1. Rôles utilisateur de l'interface Web
    2. Rôles utilisateur CLI

    Pour obtenir une liste complète des rôles prédéfinis et plus d'informations : Rôles utilisateur

    Afin de configurer un rôle utilisateur par défaut pour tous les objets d'authentification externe, accédez à Système » Utilisateurs » Authentification externe » Sélectionnez Rôle utilisateur par défaut : Choisissez le rôle d'utilisateur par défaut que vous souhaitez attribuer et sélectionnez Enregistrer.

    Afin de choisir un rôle d'utilisateur par défaut ou d'attribuer des rôles spécifiques à des utilisateurs spécifiques dans un groupe d'objets donné, vous pouvez sélectionner l'objet et accéder aux rôles d'accès contrôlé de groupe comme indiqué dans l'image :

    5. SSL ou TLS

    DNS doit être configuré dans le FMC, car la valeur Subject du certificat doit correspondre au nom d'hôte du serveur principal de l'objet d'authentification. Une fois le protocole LDAP sécurisé configuré, les captures de paquets n'affichent plus de requêtes de liaison de texte en clair.

    · SSL change le port par défaut en 636, TLS le conserve comme 389

    Note: Le chiffrement TLS nécessite un certificat sur toutes les plates-formes. Pour SSL, le FTD nécessite également un certificat. Pour les autres plates-formes, SSL ne nécessite pas de certificat. Cependant, il est recommandé de toujours télécharger un certificat pour SSL afin d'éviter les attaques de l'homme du milieu.

    Étape 1. Accédez à Périphériques » Paramètres de la plate-forme » Authentification externe » Objet Authentification externe et saisissez les informations SSL/TLS des options avancées :

    Étape 2. Téléchargez le certificat de l'autorité de certification qui a signé le certificat du serveur. Le certificat doit être au format PEM.

    Étape 3. Enregistrez la configuration.

    Vérification

    1. Base de recherche de test

    Ouvrez une invite de commandes Windows ou PowerShell où LDAP est configuré et tapez la commande :

    dsquery user -name <known username>

    Exemple :

    PS C:\Users\Administrator> dsquery user -name harry* 
    PS C:\Users\Administrator> dsquery user -name *

    2. Tester l'intégration LDAP

    Accédez à Système » Utilisateurs » Authentification externe » Objet Authentification externe. Au bas de la page, vous trouverez une section Paramètres de test supplémentaires, comme le montre l'image :

    Sélectionnez Test pour afficher les résultats.

    Dépannage

    1. Comment FMC/FTD et LDAP interagissent-ils pour télécharger les utilisateurs ?

    Pour que FMC puisse extraire des utilisateurs d'un serveur LDAP Microsoft, le FMC doit d'abord envoyer une requête bindRequest sur le port 389 ou 636 (SSL) avec les informations d'identification de l'administrateur LDAP. Une fois que le serveur LDAP est en mesure d'authentifier FMC, il répond avec un message de réussite. Enfin, FMC peut faire une demande avec le message searchRequest comme décrit dans le schéma :

    « : FMC envoie : bindRequest(1) "Administrator@SEC-LAB0" simple

    LDAP doit répondre avec : succès de bindResponse(1) — »

    « : FMC envoie : searchRequest(2) « DC=SEC-LAB, DC=NET » entièreSous-arborescence

    Notez que l'authentification envoie des mots de passe en clair par défaut :

    2. Comment FMC/FTD et LDAP interagissent-ils pour authentifier une demande de connexion utilisateur ?

    Pour qu'un utilisateur puisse se connecter à FMC ou FTD lorsque l'authentification LDAP est activée, la demande de connexion initiale est envoyée à Firepower. Cependant, le nom d'utilisateur et le mot de passe sont transférés à LDAP pour obtenir une réponse de refus/réussite. Cela signifie que FMC et FTD ne conservent pas les informations de mot de passe localement dans la base de données et attendent plutôt la confirmation de LDAP sur la façon de procéder.

    Si le nom d'utilisateur et le mot de passe sont acceptés, une entrée est ajoutée dans l'interface utilisateur graphique Web comme le montre l'image :

    Exécutez la commande show user dans FMC CLISH pour vérifier les informations utilisateur :

    > show user

    La commande affiche des informations de configuration détaillées pour le ou les utilisateurs spécifiés. Les valeurs suivantes s'affichent :

    Login : nom de connexion

    UID : ID utilisateur numérique
    Auth (Local ou Remote) : mode d'authentification de l'utilisateur
    Access (Basic ou Config) : niveau de privilège de l'utilisateur
    Activé (activé ou désactivé) : indique si l'utilisateur est actif.
    Réinitialiser (Oui ou Non) : si l'utilisateur doit changer de mot de passe lors de la prochaine connexion
    Exp (Jamais ou nombre) : nombre de jours avant que le mot de passe de l'utilisateur ne soit modifié
    Avertir (s/o ou un nombre) : nombre de jours pendant lesquels un utilisateur doit modifier son mot de passe avant qu'il n'expire
    Str (Oui ou Non) : indique si le mot de passe de l'utilisateur doit satisfaire aux critères de contrôle de la résistance.
    Verrouiller (Oui ou Non) : si le compte de l'utilisateur a été verrouillé en raison d'un trop grand nombre d'échecs de connexion
    Max (N/A ou nombre) : nombre maximal de connexions ayant échoué avant le verrouillage du compte de l'utilisateur

    3. SSL ou TLS ne fonctionnent pas comme prévu

    Si vous n'activez pas DNS sur les FTD, vous pouvez voir des erreurs dans le journal de caractères indiquant que LDAP est inaccessible :

    root@SEC-FMC:/$ sudo cd /var/common
    root@SEC-FMC:/var/common$ sudo pigtail
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

    Assurez-vous que Firepower est capable de résoudre le FQDN des serveurs LDAP. Si ce n'est pas le cas, ajoutez le DNS correct tel qu'il apparaît dans l'image :

    FTD : Accédez à la CLISH FTD et exécutez la commande :

    > configure network dns servers <IP Address>

    FMC : Choisissez System > Configuration, puis choisissez Management Interfaces comme le montre l'image :

    Assurez-vous que le certificat téléchargé vers FMC est le certificat de l'autorité de certification qui a signé le certificat du serveur LDAP, comme illustré dans l'image ci-dessous :

    Utilisez les captures de paquets afin de confirmer que le serveur LDAP envoie les informations correctes :

    Informations connexes

    TAC Authored

    Contribution d’experts de Cisco

    • Created by Luis Jose Esquivel Blanco
      Cisco Technical Consulting Engineer
    • Edited by Cesar Lopez Zamarripa
      Cisco Security Technical Leader
    • Edited by Cesar Ivan Monterrubio Ramirez
      Cisco Technical Consulting Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits