Firepower Management Center en FTD configureren met LDAP voor externe verificatie

Inleiding

Dit document beschrijft hoe u de externe verificatie van Microsoft Lichtgewicht Directory Access Protocol (LDAP) kunt inschakelen met Cisco Firepower Management Center (FMC) en Firepower Threat Defence (FTD).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco FTD
• Cisco VCC
• Microsoft LDAP

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• FTD 6.5.0-123
• VCC 6.5.0-15
• Microsoft Server 2012

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Het VCC en de beheerde apparaten omvatten een standaard admin-account voor beheertoegang. U kunt aangepaste gebruikersaccounts toevoegen op het VCC en op beheerde apparaten, als interne gebruikers of, indien ondersteund voor uw model, als externe gebruikers op een LDAP- of RADIUS-server. Externe gebruikersverificatie wordt ondersteund voor FMC en FTD.

· Interne gebruiker - Het FMC/FTD-apparaat controleert een lokale database op gebruikersverificatie.

· Externe gebruiker - Als de gebruiker niet aanwezig is in de lokale database, vult de systeeminformatie van een externe LDAP- of RADIUS-verificatieserver zijn gebruikersdatabase.

Netwerkdiagram

Configureren

Basis LDAP-configuratie in FMC GUI

Stap 1. Naar navigeren System > Users > External Authentication:

Stap 2. Kiezen Add External Authentication Object:

Stap 3. Vul de vereiste velden in:

Stap 4. Schakel de External Authentication Voorwerp en opslaan:

Shell Access voor externe gebruikers

Het FMC ondersteunt twee verschillende interne admin-gebruikers: een voor de webinterface en een ander met CLI-toegang. Dit betekent dat er een duidelijk onderscheid bestaat tussen wie toegang heeft tot de GUI en wie ook toegang heeft tot CLI. Op het moment van installatie is het wachtwoord voor de standaard beheerder gebruiker gesynchroniseerd om hetzelfde te zijn op zowel GUI als CLI, maar ze worden bijgehouden door verschillende interne mechanismen en kunnen uiteindelijk anders zijn.

LDAP Externe gebruikers moeten ook toegang tot shell krijgen.

Stap 1. Naar navigeren System > Users > External Authentication en klik op Shell Authentication vervolgkeuzelijst zoals in de afbeelding en opslaan:

Stap 2. Veranderingen in het VCC toepassen.

Zodra shell-toegang voor externe gebruikers is geconfigureerd, wordt login via SSH ingeschakeld zoals in de afbeelding:

Externe verificatie naar FTD

Externe verificatie kan worden ingeschakeld op FTD.

Stap 1. Naar navigeren Devices > Platform Settings > External Authentication. Klik op de knop  Enabled en opslaan:

Gebruikersrollen

Gebruikersrechten zijn gebaseerd op de toegewezen gebruikersrol. U kunt ook aangepaste gebruikersrollen maken met toegangsrechten die zijn afgestemd op de behoeften van uw organisatie of u kunt vooraf gedefinieerde rollen gebruiken zoals Security Analyst en Discovery Admin.

Er zijn twee soorten gebruikersrollen:

1. Gebruikersrollen voor webinterfaces
2. CLI-gebruikersrollen

Voor een volledige lijst van vooraf gedefinieerde rollen en meer informatie, raadpleegt u: Gebruikersrollen.

Om een standaardgebruikersrol voor alle externe verificatieobjecten te configureren, navigeer naar System > Users > External Authentication > Default User Role. Kies de standaardgebruikersrol die u wilt toewijzen en klik op Save.

Om een standaardgebruikersrol te kiezen of specifieke rollen toe te wijzen aan specifieke gebruikers in een bepaalde objectgroep, kunt u het object kiezen en naar navigeren Group Controlled Access Roles zoals te zien op de afbeelding:

SSL of TLS

DNS moet in het VCC worden geconfigureerd. Dit komt doordat de onderwerpwaarde van het certificaat moet overeenkomen met de Authentication Object Primary Server Hostname. Zodra Secure LDAP is geconfigureerd, tonen pakketopnamen geen duidelijke tekstbindverzoeken meer.

SSL verandert de standaardpoort in 636 en TLS houdt het als 389.

Opmerking: voor TLS-versleuteling is een certificaat op alle platforms vereist. Voor SSL vereist het FTD ook een certificaat. Voor andere platforms heeft SSL geen certificaat nodig. Het wordt echter aanbevolen om altijd een certificaat voor SSL te uploaden om man-in-the-middle aanvallen te voorkomen.

Stap 1. Naar navigeren Devices > Platform Settings > External Authentication > External Authentication Object en voer de SSL/TLS-informatie over geavanceerde opties in:

Stap 2. Upload het certificaat van de CA die het certificaat van de server heeft ondertekend. Het certificaat moet in PEM-formaat zijn opgesteld.

Stap 3. Sla de configuratie op.

Verifiëren

Zoekbasis testen

Open een Windows-opdrachtprompt of PowerShell waar LDAP is geconfigureerd en typ de opdracht: dsquery user -name .

Voorbeeld:

PS C:\Users\Administrator> dsquery user -name harry* 
PS C:\Users\Administrator> dsquery user -name * 

Test LDAP-integratie

Naar navigeren System > Users > External Authentication > External Authentication Object. Onderaan de pagina is een Additional Test Parameters gedeelte zoals in het beeld:

Kies de Test om de resultaten te zien.

Problemen oplossen

Hoe werken FMC/FTD en LDAP samen om gebruikers te downloaden?

Om het VCC in staat te stellen gebruikers van een Microsoft LDAP-server te halen, moet het VCC eerst een bind verzoek verzenden op poort 389 of 636 (SSL) met de LDAP-beheerderreferenties. Zodra de LDAP-server in staat is om het VCC te authenticeren, reageert het met een succesbericht. Tot slot kan het VCC een verzoek indienen met het bericht "zoekopdracht" Aanvraag zoals beschreven in het diagram:

<< ---  FMC sends: bindRequest(1) "Administrator@SEC-LAB0" simple LDAP must respond with: bindResponse(1) success --- >> << --- FMC sends: searchRequest(2) "DC=SEC-LAB,DC=NET" wholeSubtree

Bericht dat de authentificatie wachtwoorden in duidelijk door gebrek verzendt:

Hoe werken FMC/FTD en LDAP samen om een gebruikersaanmelding te verifiëren?

Om een gebruiker in staat te stellen in te loggen op FMC of FTD terwijl LDAP-verificatie is ingeschakeld, wordt het eerste inlogverzoek naar Firepower gestuurd. De gebruikersnaam en het wachtwoord worden echter doorgestuurd naar LDAP voor een succes/ontkenning-antwoord. Dit betekent dat het VCC en de FTD de wachtwoordinformatie niet lokaal in de gegevensbank bewaren en in plaats daarvan wachten op bevestiging van LDAP over hoe te werk te gaan.

Als de gebruikersnaam en het wachtwoord worden geaccepteerd, wordt een vermelding toegevoegd in de web GUI zoals in de afbeelding:

Voer de opdracht show user in FMC CLISH om gebruikersinformatie te verifiëren: > show user

Op de opdracht wordt gedetailleerde configuratie-informatie voor de gespecificeerde gebruiker(s) weergegeven. Deze waarden worden weergegeven:

Aanmelden — de inlognaam

UID — de numerieke gebruikers-ID
Auth (lokaal of extern) — hoe de gebruiker wordt geverifieerd
Toegang (Basis of Config) — het prioriteitsniveau van de gebruiker
Ingeschakeld (Ingeschakeld of Uitgeschakeld) — of de gebruiker actief is
Reset (Ja of Nee) — of de gebruiker het wachtwoord moet wijzigen bij de volgende aanmelding
Exp (Nooit of een getal) — het aantal dagen tot het wachtwoord van de gebruiker moet worden gewijzigd
Waarschuwing (N.v.t. of een nummer) — het aantal dagen dat een gebruiker krijgt om zijn wachtwoord te wijzigen voordat het verloopt
Str (Ja of Nee) — of het wachtwoord van de gebruiker moet voldoen aan de criteria om de sterkte te controleren
Vergrendelen (Ja of Nee) — of het account van de gebruiker is vergrendeld vanwege te veel inlogfouten
Max. (N/A of een getal) — het maximale aantal mislukte aanmeldingen voordat de account van de gebruiker is vergrendeld

SSL of TLS werkt niet zoals verwacht

Als u DNS op de FTD's niet inschakelt, kunt u fouten in het logboek zien die erop wijzen dat LDAP onbereikbaar is:

root@SEC-FMC:/$ sudo cd /var/common
root@SEC-FMC:/var/common$ sudo pigtail

MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

Zorg ervoor dat Firepower in staat is om de LDAP servers FQDN op te lossen. Als dit niet het geval is, voegt u de juiste DNS toe zoals in de afbeelding wordt weergegeven.

FTD: Open de FTD CLISH en voer de opdracht uit: > configure network dns servers .

VCC: kies System > Configurationen kies vervolgens Beheerinterfaces zoals in de afbeelding:

Zorg ervoor dat het certificaat dat is geüpload naar het VCC het certificaat is van de CA die het servercertificaat van de LDAP heeft ondertekend, zoals wordt geïllustreerd in de afbeelding:

Gebruik pakketopnamen om te bevestigen dat LDAP-server de juiste informatie verstuurt:

Gerelateerde informatie

• Gebruikersaccounts voor beheertoegang
• Cisco Firepower Management Center lichtgewicht Directory Access Protocol-verificatie omzeilbaarheid
• Configuratie van LDAP-verificatieobject op FireSIGHT-systeem
• Technische ondersteuning en documentatie – Cisco Systems