Configurez le centre de Gestion de FirePOWER et le FTD avec le LDAP pour l'authentification externe
Contenu
Introduction
Ce document décrit comment activer l'authentification externe de Protocole LDAP (Lightweight Directory Access Protocol) de Microsoft avec le centre de Gestion de Cisco FirePOWER (FMC) et la défense contre des menaces de FirePOWER (FTD).
Conditions préalables
Exigences
Cisco recommande que vous ayez la connaissance de ces thèmes
- Défense contre des menaces de Cisco FirePOWER (FTD)
- Centre de Gestion de Cisco FirePOWER (FMC)
- Protocole LDAP (Lightweight Directory Access Protocol) de Microsoft
Composants utilisés
- Défense contre des menaces 6.5.0-123 de FirePOWER
- Centre 6.5.0-115 de Gestion de FirePOWER
- Serveur 2012 de Microsoft
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Les FMC et les périphériques gérés incluent un admin par défaut expliquent l'accès de Gestion. Vous pouvez ajouter des comptes utilisateurs faits sur commande au centre de Gestion de FirePOWER et sur des périphériques gérés, comme utilisateurs internes ou, si pris en charge pour votre modèle, comme utilisateurs externes sur un serveur de LDAP ou de RADIUS. L'authentification d'utilisateur externe est prise en charge pour le centre de Gestion de FirePOWER et la défense contre des menaces de FirePOWER.
• Utilisateur interne - Le périphérique FMC/FTD vérifie une base de données locale pour l'authentification de l'utilisateur.
• Utilisateur externe - Si l'utilisateur n'est pas présent dans la base de données locale, les informations système d'un LDAP externe ou le serveur d'authentification RADIUS pour remplir sa base de données utilisateur.
Diagramme du réseau
Configurer
1. Configuration de base de LDAP dans le GUI FMC
Étape 1. Naviguez vers le système >> les utilisateurs >> l'authentification externe :
Étape 2. Choisi ajoutez l'objet d'authentification externe :
Étape 3. Terminez-vous les champs requis :
Étape 4.Enable l'objet et la sauvegarde d'authentification externe :
2. Shell Access pour des utilisateurs externes
Le FMC prend en charge deux utilisateurs internes différents d'admin : un pour l'interface web, et des autres avec l'accès CLI. Ceci signifie qu'il y a une distinction claire entre qui peut accéder au GUI et qui peut également accéder au CLI. Au moment de installez, le mot de passe pour l'utilisateur par défaut d'admin est synchronisé pour être identique sur le GUI et le CLI, cependant, ils sont dépistés par différents mécanismes internes, et peuvent par la suite être différents.
On doit également accorder des utilisateurs externes de LDAP l'accès de shell.
Étape 1. Naviguez vers le système >> les utilisateurs >> l'authentification externe >> cliquent sur en fonction la liste déroulante d'authentification de shell comme vu dans l'image et l'sauvegardent :
Étape 2. Déployez les changements de FMC.
Une fois l'accès de shell pour des utilisateurs externes est configuré, procédure de connexion par l'intermédiaire du SSH est activé comme vu dans l'image :
3. Authentification externe à FTD
L'authentification externe peut être activée sur FTD
Étape 1. Naviguez vers des périphériques >> des configurations >> l'authentification externe de plate-forme >> sélectionnent activé et sauvegardent :
4. Rôles de l'utilisateur
Des privilèges des utilisateurs sont basés sur le rôle de l'utilisateur assigné. Vous pouvez également créer des rôles de l'utilisateur faits sur commande avec des privilèges d'accès conçus en fonction les besoins de votre organisation ou vous pouvez utiliser des rôles de prédéfinis tels que l'admin d'analyste de sécurité et de détection.
Il y a deux types de rôles de l'utilisateur :
- Rôles de l'utilisateur d'interface web
- Rôles de l'utilisateur CLI
Pour une liste complète de rôles de prédéfinis et de plus d'informations : Rôles de l'utilisateur
Afin de configurer un rôle de l'utilisateur par défaut pour tous les objets d'authentification externe naviguez vers le système >> les utilisateurs >> l'authentification externe >> sélectionnent le rôle de l'utilisateur par défaut : Choisissez le rôle de l'utilisateur par défaut que vous voudriez assigner et sélectionner la sauvegarde.
Afin de choisir un rôle de l'utilisateur par défaut ou assigner des rôles spécifiques aux utilisateurs spécifiques à un certain groupe d'objets, vous pouvez sélectionner l'objet et naviguer vers des rôles d'accès contrôlé de groupe comme vu dans l'image :
5. SSL ou TLS
Des DN doit être configurés dans le FMC, ceci est parce que la valeur soumise du certificat doit apparier l'adresse Internet primaire de serveur d'objet d'authentification. Le LDAP une fois sécurisé est configuré, des captures de paquet n'affichent plus des demandes de grippage des textes clairs.
•Le SSL change le port par défaut à 636, TLS le garde en tant que 389
Étape 1. Naviguez vers l'objet de périphériques >> de configurations >> d'authentification externe >> d'authentification externe de plate-forme et écrivez les informations avancées des options SSL/TLS :
Étape 2. Téléchargez le certificat du CA qui a signé le certificat de serveur. Le certificat doit être dans le format PEM.
Étape 3. Sauvegardez la configuration.
Vérifiez
1. Base de recherche de test
Ouvrez une demande de commande Windows ou un PowerShell où le LDAP est configuré et introduisez la commande :
dsquery user -name <known username>
Exemple :
PS C:\Users\Administrator> dsquery user -name harry*
PS C:\Users\Administrator> dsquery user -name *
2. Intégration de LDAP de test
Naviguez vers le système >> les utilisateurs >> l'authentification externe >> l'objet d'authentification externe. Au bas de page, il y a une section supplémentaire de paramètres de test comme vu dans l'image :
Sélectionnez le test pour voir des résultats.
Dépanner
1. Comment FMC/FTD et LDAP interagissent-ils pour télécharger des utilisateurs ?
Pour que FMC puisse tirer des utilisateurs d'un serveur LDAP de Microsoft, le FMC doit d'abord envoyer un bindRequest sur le port 389 ou 636 (SSL) avec les qualifications d'administrateur de LDAP. Une fois que le serveur LDAP peut authentifier FMC, il répond avec un message de succès. En conclusion, FMC peut faire une demande avec le message searchRequest comme décrit dans le diagramme :
<< ------ FMC envoie : bindRequest(1) "Administrator@SEC-LAB0" simple
Le LDAP doit répondre avec : bindResponse(1) succès ------ >>
<< ------ FMC envoie : searchRequest(2) « DC=SEC-LAB, wholeSubtree DC=NET »
Notez que l'authentification envoie des mots de passe en clair par défaut :
2. Comment est-ce que FMC/FTD et LDAP interactifs authentifient-ils une ouverture de session utilisateur demandent ?
Pour qu'un utilisateur puissiez ouvre une session à FMC ou à FTD tandis que l'authentification LDAP est activée, la demande de procédure de connexion initiale est envoyé à FirePOWER, toutefois le nom d'utilisateur et mot de passe sont expédiés au LDAP pour un succès/refusent la réponse. Ceci signifie que FMC et FTD ne maintiennent pas les informations de mot de passe localement dans la base de données et attendent à la place la confirmation du LDAP sur la façon dont poursuivre.
Si le nom d'utilisateur et mot de passe sont reçus, une entrée est ajoutée dans le GUI de Web comme vu dans l'image :
Exécutez l'utilisateur d'exposition de commande dans FMC CLISH pour vérifier les informations utilisateur :
> show user <username>La commande affiche les informations de configuration détaillées pour les utilisateurs spécifiés. Les valeurs suivantes sont affichées :
Procédure de connexion — le nom d'ouverture de connexion
UID — l'user-id numérique
Authentique (gens du pays ou distant) — comment l'utilisateur est authentifié
Access (de base ou config) — le niveau de privilège de l'utilisateur
Activé (activé ou désactivé) — si l'utilisateur est en activité
La remise (oui ou non) — si l'utilisateur doit changer le mot de passe à la prochaine procédure de connexion
L'exp (jamais ou un nombre) — le nombre de jours jusqu'au mot de passe d'utilisateur doit être changé
Avertissez (NON APPLICABLE ou un nombre) — le nombre de jours où un utilisateur est donné pour changer leur mot de passe avant qu'il expire
Le streptocoque (oui ou non) — si le mot de passe d'utilisateur doit atteindre le point fort vérifiant des critères
Le verrouillage (oui ou non) — si le compte d'utilisateur a été dû verrouillé à trop de pannes de procédure de connexion
Maximum (NON APPLICABLE ou un nombre) — le nombre maximal de procédures de connexion défectueuses avant le compte d'utilisateur est verrouillé
3. Le SSL ou le TLS ne fonctionne pas comme prévu
Si vous n'activez pas des DN sur le FTDs, vous pouvez voir les erreurs dans le log de tresse qui suggèrent que le LDAP soit inaccessible :
root@SEC-FMC:/$ sudo cd /var/common
root@SEC-FMC:/var/common$ sudo pigtail
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15 user=h.potter
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]
Assurez-vous que FirePOWER peut résoudre le FQDN de serveurs LDAP. Sinon, ajoutez les DN corrects comme vu dans l'image :
FTD : Accédez au FTD CLISH et exécutez la commande :
> configure network dns servers <IP Address>
FMC : Choisissez le système > la configuration, et puis choisissez les interfaces de gestion comme vu dans l'image :
Assurez que le certificat téléchargé à FMC est le certificat du CA qui a signé le certificat de serveur LDAP, comme illustré dans l'image ci-dessous :
Les captures de paquet d'utilisation afin de confirmer le serveur LDAP envoie les informations correctes :
Informations connexes
- L'utilisateur explique la Gestion Access
- Vulnérabilité de contournement d'authentification de protocole LDAP de centre de Gestion de Cisco FirePOWER
- Configuration d'objet d'authentification LDAP sur le système de FireSIGHT
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)