Firepower Management Center en FTD met LDAP voor externe verificatie configureren

Downloadopties

  • PDF     (2.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juli 2020
Document-id:215538

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe Microsoft lichtgewicht Directory Access Protocol (LDAP) externe verificatie mogelijk moet worden gemaakt met Cisco Firepower Management Center (FMC) en Firepower Threat Defense (FTD).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan

    • Cisco Firepower Threat Defense (FTD)
    • Cisco FireSIGHT Management Center (FMC)
    • Microsoft Lichtgewicht Directory Access Protocol (LDAP)

    Gebruikte componenten

    • Firepower Threat Defense versie 6.5.0-12.3
    • Firepower Management Center 6.5.0-15
    • Microsoft Server 2012

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Achtergrondinformatie

    Het FMC en de beheerde apparaten omvatten een standaard beheeraccount voor beheertoegang. U kunt aangepaste gebruikersrekeningen toevoegen op het FireSIGHT Management Center en op beheerde apparaten, als interne gebruikers of, indien ondersteund voor uw model, als externe gebruikers op een LDAP- of RADIUS-server. Externe gebruikersverificatie wordt ondersteund voor FireSIGHT Management Center en Firepower Threat Defense.

    ・ Interne gebruiker - Het FMC/FTD-apparaat controleert een lokale database voor gebruikersverificatie.

    ・ Externe gebruiker - Als de gebruiker niet in de lokale database aanwezig is, vult de systeeminformatie van een externe LDAP- of RADIUS-verificatieserver om de gebruikersdatabase te vullen.

    Netwerkdiagram

    Configureren

    1. Basisconfiguratie van de LDAP-configuratie in FMC GUI

    Stap 1. Navigatie naar systeem > Gebruikers > Externe verificatie:

    Stap 2. Selecteer Externe verificatieobject toevoegen:

    Stap 3. Vul de gewenste velden in:

    Stap 4. Schakel het externe verificatieobject in en Sla het bestand op:

    2. Shell-toegang voor externe gebruikers

    Het FMC ondersteunt twee verschillende interne beheergebruikers: een voor de web interface en een ander met CLI-toegang. Dit betekent dat er een duidelijk onderscheid is tussen wie toegang heeft tot de GUI en wie ook toegang heeft tot de CLI. Op het moment van installatie is het wachtwoord voor de standaardinstellingen van de beheerder gesynchroniseerd om hetzelfde te zijn op zowel GUI als CLI, maar ze worden getraceerd door verschillende interne mechanismes en kunnen uiteindelijk anders zijn.

    LDAP Externe gebruikers moeten ook toegang krijgen tot shell.

    Stap 1. navigeren naar Systeem >> Gebruikers > Externe verificatie >> Klik op het vervolgkeuzevenster voor Shell-verificatie zoals in het beeld gezien en slaat u op:

    Stap 2. Wijzig wijzigingen in VCC.

    Als shell-toegang voor externe gebruikers is ingesteld, is inloggen via SSH ingeschakeld zoals in de afbeelding te zien is:

    3. Externe verificatie aan de FTD

    Externe authenticatie kan worden ingeschakeld op FTD

    Stap 1. navigeren naar Apparaten > Platform-instellingen > Externe verificatie > Selecteer Ingeschakeld en slaat op:

    4. Rol van de gebruiker

    De gebruikersrechten zijn gebaseerd op de toegewezen gebruikersrol. U kunt ook aangepaste gebruikersrollen maken met toegangsrechten die aan de behoeften van uw organisatie zijn aangepast of u kunt vooraf gedefinieerde rollen gebruiken zoals Security Analyst en Discovery Admin.

    Er zijn twee soorten gebruikersrollen:

    1. Web interface-gebruikersrollen
    2. CLI-gebruikersrollen

    Voor een volledige lijst van vooraf gedefinieerde rollen en meer informatie: Rol van gebruikers

    Om een standaardgebruikersrol voor alle externe verificatieobjecten te configureren navigeer u naar systeem > Gebruikers > Externe verificatie > selecteert u Standaardgebruikersrol: Kies de standaardgebruikersrol die u wilt toewijzen en selecteer Opslaan.

    Als u een standaardgebruikersrol wilt kiezen of een specifieke rol wilt toewijzen aan specifieke gebruikers in een bepaalde doelgroep, kunt u het object selecteren en naar Group Control Access Roles navigeren zoals in het beeld wordt gezien:

    5. SSL of TLS

    DNS moet in het FMC worden geconfigureerd, dit komt doordat de onderwerpwaarde van het certificaat overeenkomt met de naam van de verificatieobject. Zodra Secure LDAP is ingesteld, toont pakketvastlegging niet langer duidelijke tekstverzoeken.

    ・SSL verandert de standaardpoort naar 636, TLS houdt het als 389

    Opmerking: TLS-encryptie vereist een certificaat op alle platforms. Voor SSL vereist de FTD ook een certificaat. Voor andere platforms heeft SSL geen certificaat nodig. Aanbevolen wordt echter om altijd een certificaat voor SSL te uploaden om aanvallen van mens in het midden te voorkomen.

    Stap 1. Navigatie naar Apparaten > Platform Instellingen > Externe Verificatie > Externe verificatie > Externe authenticatieobject en voer de informatie Advanced Opties SSL/TLS in:

    Stap 2. Upload het certificaat van de CA die het certificaat van de server heeft ondertekend. Het certificaat moet in PEM-formaat zijn opgesteld.

    Stap 3. Bewaar de configuratie.

    Verifiëren

    1. Zoekbasis testen

    Open een Windows-opdrachtprompt of PowerShell waarin LDAP is ingesteld en typ de opdracht:

    dsquery user -name <known username>

    Bijvoorbeeld:

    PS C:\Users\Administrator> dsquery user -name harry* 
    PS C:\Users\Administrator> dsquery user -name *

    2. Test LDAP-integratie

    Navigeren in naar systeem > Gebruikers > Externe verificatie > Externe verificatieobject. Onder in de pagina staat een gedeelte Aanvullende testparameters zoals in de afbeelding:

    Selecteer Test om resultaten te zien.

    Problemen oplossen

    1. Hoe reageren FMC/FTD en LDAP op downloadopties?

    Om het FMC in staat te stellen gebruikers van een Microsoft LDAP-server te trekken, moet het FMC eerst een bindeconomisch verzoek verzenden via poort 389 of 636 (SSL) met de LDAP-Administrator-referenties. Zodra de LDAP server FMC kan authenticeren, reageert deze met een succesbericht. Ten slotte kan FMC een verzoek indienen met het bericht "zoekaanvraag" zoals dat in het diagram wordt beschreven:

    << — FMC stuurt: bindvast(1) "Administrator@SEC-LAB0" eenvoudig

    LDAP moet reageren met: Binaire respons(1) succes — >>

    << — FMC stuurt: SearchApplication(2) "DC=SEC-LAB,DC=NET" completeSubtree

    Merk op dat de authenticatie wachtwoorden in het duidelijk versturen standaard:

    2. Hoe reageren FMC/FTD en LDAP op verificatie van een gebruikersaanmelding?

    Om een gebruiker in staat te stellen in te loggen op het VMC of het FTD terwijl de LDAP-verificatie is ingeschakeld, wordt de eerste inlogaanvraag naar het Vuurgenootschap gestuurd, maar de gebruikersnaam en het wachtwoord worden naar LDAP doorgestuurd voor een succesvolle/ontkennende respons. Dit betekent dat het VMC en het FTD geen wachtwoordinformatie in de databank bewaren en in plaats daarvan een bevestiging van LDAP afwachten over hoe te handelen.

    Als de gebruikersnaam en het wachtwoord worden geaccepteerd, wordt een artikel toegevoegd in de web GUI zoals in de afbeelding te zien is:

    Start de opdrachtgever in FMC CLISH om de gebruikersinformatie te controleren:

    > show user

    De opdracht geeft gedetailleerde configuratieinformatie voor de gespecificeerde gebruiker(s) weer. De volgende waarden worden weergegeven:

    Aanmelden - de lognaam

    UID — de numerieke gebruiker-ID
    Auth (lokaal of extern) — hoe de gebruiker is geauthentificeerd
    Toegang (basis- of configuratie) — voorkeursniveau van de gebruiker
    Ingeschakeld (in- of uitgeschakeld) — of de gebruiker actief is
    Beginwaarden (Ja of Nee) — of de gebruiker het wachtwoord moet wijzigen bij de volgende inlognaam
    EXP (Nooit of een nummer) — het aantal dagen tot het wachtwoord van de gebruiker moet worden gewijzigd
    Waarschuwing (N/A of een nummer): het aantal dagen dat een gebruiker krijgt om zijn wachtwoord te wijzigen voordat het verstrijkt
    Str (Ja of Nee) — of het wachtwoord van de gebruiker moet voldoen aan de criteria voor de controle van de sterkte
    Lock (Ja of Nee) — of de account van de gebruiker is vergrendeld vanwege te veel inlogfouten
    Max. (N/A of een nummer) — het maximale aantal mislukte logins voordat de account van de gebruiker is vergrendeld

    3. SSL of TLS werkt niet zoals verwacht

    Als DNS niet op de FTD's wordt ingeschakeld, ziet u fouten in het pigmentlogbestand die erop duiden dat LDAP onbereikbaar is:

    root@SEC-FMC:/$ sudo cd /var/common
    root@SEC-FMC:/var/common$ sudo pigtail
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

    Zorg ervoor dat Firepower de LDAP servers FQDN kan oplossen. Als dit niet het geval is, voegt u de juiste DNS toe zoals in de afbeelding:

    FTD: Toegang tot de FTD CLISH en voer de opdracht uit:

    > configure network dns servers <IP Address>

    VMC: Kies Systeem > Configuration en kies vervolgens Management-interfaces, zoals in de afbeelding:

    Zorg ervoor dat het aan FMC geüpload certificaat het certificaat is van de CA die het certificaat van de LDAP server heeft ondertekend, zoals wordt geïllustreerd in de afbeelding hieronder:

    Gebruik pakketvastlegging om te bevestigen dat LDAP server de juiste informatie verstuurt:

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Created by Luis Jose Esquivel Blanco
      Cisco technische adviseur-engineer
    • Edited by Cesar Lopez Zamarripa
      Cisco security technische leider
    • Edited by Cesar Ivan Monterrubio Ramirez
      Cisco technische adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten