Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment activer l'authentification externe LDAP (Lightweight Directory Access Protocol) de Microsoft avec Cisco Firepower Management Center (FMC) et Firepower Threat Defense (FTD).
Cisco vous recommande de prendre connaissance des rubriques suivantes
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Le FMC et les périphériques gérés incluent un compte d'administrateur par défaut pour l'accès à la gestion. Vous pouvez ajouter des comptes utilisateur personnalisés sur Firepower Management Center et sur les périphériques gérés, soit en tant qu'utilisateurs internes, soit, si pris en charge pour votre modèle, en tant qu'utilisateurs externes sur un serveur LDAP ou RADIUS. L'authentification des utilisateurs externes est prise en charge pour Firepower Management Center et Firepower Threat Defense.
· utilisateur interne : le périphérique FMC/FTD vérifie l'authentification des utilisateurs dans une base de données locale.
· utilisateur externe : si l'utilisateur n'est pas présent dans la base de données locale, les informations système d'un serveur d'authentification LDAP ou RADIUS externe pour remplir sa base de données utilisateur.
Étape 1. Accédez à Système » Utilisateurs » Authentification externe :
Étape 2. Sélectionnez Ajouter un objet d'authentification externe :
Étape 3. Renseignez les champs obligatoires :
Étape 4.Activez l'objet d'authentification externe et enregistrez :
FMC prend en charge deux utilisateurs d'administration internes différents : l'une pour l'interface web et l'autre avec accès CLI. Cela signifie qu'il existe une distinction claire entre qui peut accéder à l'interface utilisateur graphique et qui peut également accéder à l'interface de ligne de commande. Au moment de l'installation, le mot de passe de l'utilisateur admin par défaut est synchronisé pour être le même sur l'interface utilisateur graphique et l'interface de ligne de commande, mais ils sont suivis par différents mécanismes internes et peuvent éventuellement être différents.
Les utilisateurs externes LDAP doivent également bénéficier d'un accès shell.
Étape 1. Accédez à Système » Utilisateurs » Authentification externe » Cliquez sur la zone de liste déroulante Authentification de l'interpréteur de commandes comme l'indique l'image et enregistrez :
Étape 2. Déployer les modifications dans FMC.
Une fois que l'accès au shell pour les utilisateurs externes est configuré, la connexion via SSH est activée comme le montre l'image :
L'authentification externe peut être activée sur FTD
Étape 1. Accédez à Périphériques » Paramètres de la plate-forme » Authentification externe » Sélectionnez Activé et enregistrez :
Les privilèges utilisateur sont basés sur le rôle d'utilisateur assigné. Vous pouvez également créer des rôles d'utilisateur personnalisés avec des privilèges d'accès adaptés aux besoins de votre organisation ou utiliser des rôles prédéfinis tels que Security Analyst et Discovery Admin.
Il existe deux types de rôles d'utilisateur :
Pour obtenir une liste complète des rôles prédéfinis et plus d'informations : Rôles utilisateur
Afin de configurer un rôle utilisateur par défaut pour tous les objets d'authentification externe, accédez à Système » Utilisateurs » Authentification externe » Sélectionnez Rôle utilisateur par défaut : Choisissez le rôle d'utilisateur par défaut que vous souhaitez attribuer et sélectionnez Enregistrer.
Afin de choisir un rôle d'utilisateur par défaut ou d'attribuer des rôles spécifiques à des utilisateurs spécifiques dans un groupe d'objets donné, vous pouvez sélectionner l'objet et accéder aux rôles d'accès contrôlé de groupe comme indiqué dans l'image :
DNS doit être configuré dans le FMC, car la valeur Subject du certificat doit correspondre au nom d'hôte du serveur principal de l'objet d'authentification. Une fois le protocole LDAP sécurisé configuré, les captures de paquets n'affichent plus de requêtes de liaison de texte en clair.
· SSL change le port par défaut en 636, TLS le conserve comme 389
Note: Le chiffrement TLS nécessite un certificat sur toutes les plates-formes. Pour SSL, le FTD nécessite également un certificat. Pour les autres plates-formes, SSL ne nécessite pas de certificat. Cependant, il est recommandé de toujours télécharger un certificat pour SSL afin d'éviter les attaques de l'homme du milieu.
Étape 1. Accédez à Périphériques » Paramètres de la plate-forme » Authentification externe » Objet Authentification externe et saisissez les informations SSL/TLS des options avancées :
Étape 2. Téléchargez le certificat de l'autorité de certification qui a signé le certificat du serveur. Le certificat doit être au format PEM.
Étape 3. Enregistrez la configuration.
Ouvrez une invite de commandes Windows ou PowerShell où LDAP est configuré et tapez la commande :
dsquery user -name <known username>
Exemple :
PS C:\Users\Administrator> dsquery user -name harry*
PS C:\Users\Administrator> dsquery user -name *
Accédez à Système » Utilisateurs » Authentification externe » Objet Authentification externe. Au bas de la page, vous trouverez une section Paramètres de test supplémentaires, comme le montre l'image :
Sélectionnez Test pour afficher les résultats.
Pour que FMC puisse extraire des utilisateurs d'un serveur LDAP Microsoft, le FMC doit d'abord envoyer une requête bindRequest sur le port 389 ou 636 (SSL) avec les informations d'identification de l'administrateur LDAP. Une fois que le serveur LDAP est en mesure d'authentifier FMC, il répond avec un message de réussite. Enfin, FMC peut faire une demande avec le message searchRequest comme décrit dans le schéma :
« : FMC envoie : bindRequest(1) "Administrator@SEC-LAB0" simple
LDAP doit répondre avec : succès de bindResponse(1) — »
« : FMC envoie : searchRequest(2) « DC=SEC-LAB, DC=NET » entièreSous-arborescence
Notez que l'authentification envoie des mots de passe en clair par défaut :
Pour qu'un utilisateur puisse se connecter à FMC ou FTD lorsque l'authentification LDAP est activée, la demande de connexion initiale est envoyée à Firepower. Cependant, le nom d'utilisateur et le mot de passe sont transférés à LDAP pour obtenir une réponse de refus/réussite. Cela signifie que FMC et FTD ne conservent pas les informations de mot de passe localement dans la base de données et attendent plutôt la confirmation de LDAP sur la façon de procéder.
Si le nom d'utilisateur et le mot de passe sont acceptés, une entrée est ajoutée dans l'interface utilisateur graphique Web comme le montre l'image :
Exécutez la commande show user dans FMC CLISH pour vérifier les informations utilisateur :
> show user
La commande affiche des informations de configuration détaillées pour le ou les utilisateurs spécifiés. Les valeurs suivantes s'affichent :
Login : nom de connexion
UID : ID utilisateur numérique
Auth (Local ou Remote) : mode d'authentification de l'utilisateur
Access (Basic ou Config) : niveau de privilège de l'utilisateur
Activé (activé ou désactivé) : indique si l'utilisateur est actif.
Réinitialiser (Oui ou Non) : si l'utilisateur doit changer de mot de passe lors de la prochaine connexion
Exp (Jamais ou nombre) : nombre de jours avant que le mot de passe de l'utilisateur ne soit modifié
Avertir (s/o ou un nombre) : nombre de jours pendant lesquels un utilisateur doit modifier son mot de passe avant qu'il n'expire
Str (Oui ou Non) : indique si le mot de passe de l'utilisateur doit satisfaire aux critères de contrôle de la résistance.
Verrouiller (Oui ou Non) : si le compte de l'utilisateur a été verrouillé en raison d'un trop grand nombre d'échecs de connexion
Max (N/A ou nombre) : nombre maximal de connexions ayant échoué avant le verrouillage du compte de l'utilisateur
Si vous n'activez pas DNS sur les FTD, vous pouvez voir des erreurs dans le journal de caractères indiquant que LDAP est inaccessible :
root@SEC-FMC:/$ sudo cd /var/common
root@SEC-FMC:/var/common$ sudo pigtail
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15 user=h.potter
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]
Assurez-vous que Firepower est capable de résoudre le FQDN des serveurs LDAP. Si ce n'est pas le cas, ajoutez le DNS correct tel qu'il apparaît dans l'image :
FTD : Accédez à la CLISH FTD et exécutez la commande :
> configure network dns servers <IP Address>
FMC : Choisissez System > Configuration, puis choisissez Management Interfaces comme le montre l'image :
Assurez-vous que le certificat téléchargé vers FMC est le certificat de l'autorité de certification qui a signé le certificat du serveur LDAP, comme illustré dans l'image ci-dessous :
Utilisez les captures de paquets afin de confirmer que le serveur LDAP envoie les informations correctes :