Configurar o Firepower Management Center e o FTD com LDAP para autenticação externa

Opções de download

  • PDF     (2.9 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de Julho de 2020
ID do documento:215538

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como habilitar a autenticação externa do Microsoft Lightweight Diretory Access Protocol (LDAP) com o Cisco Firepower Management Center (FMC) e o Firepower Threat Defense (FTD).

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos

    • Cisco Firepower Threat Defense (FTD)
    • Cisco Firepower Management Center (FMC)
    • Protocolo de Acesso de Diretório Lightweight (LDAP - Lightweight Diretory Access Protocol) da Microsoft

    Componentes Utilizados

    • Firepower Threat Defense 6.5.0-123
    • Firepower Management Center 6.5.0-115
    • Microsoft Server 2012

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O FMC e os dispositivos gerenciados incluem uma conta de administrador padrão para acesso de gerenciamento. Você pode adicionar contas de usuário personalizadas no Firepower Management Center e em dispositivos gerenciados, como usuários internos ou, se houver suporte para seu modelo, como usuários externos em um servidor LDAP ou RADIUS. A autenticação de usuário externo é compatível com Firepower Management Center e Firepower Threat Defense.

    Usuário interno - O dispositivo FMC/FTD verifica um banco de dados local para autenticação de usuário.

    Usuário externo - Se o usuário não estiver presente no banco de dados local, as informações do sistema de um servidor de autenticação LDAP ou RADIUS externo para preencher seu banco de dados de usuário.

    Diagrama de Rede

    Configurar

    1. Configuração LDAP básica na GUI do FMC

    Etapa 1. Navegue até Sistema > Usuários >> Autenticação externa:

    Etapa 2. Selecione Adicionar objeto de autenticação externa:

    Etapa 3. Preencha os campos obrigatórios:

    Etapa 4.Ativar o Objeto de Autenticação Externa e Salvar:

    2. Acesso Shell para Usuários Externos

    O FMC oferece suporte a dois usuários administrativos internos diferentes: um para a interface da Web e outro com acesso CLI. Isso significa que há uma distinção clara entre quem pode acessar a GUI e quem também pode acessar a CLI. No momento da instalação, a senha do usuário admin padrão é sincronizada para ser a mesma na GUI e na CLI, no entanto, eles são rastreados por mecanismos internos diferentes e podem eventualmente ser diferentes.

    Os usuários externos LDAP também devem receber acesso de shell.

    Etapa 1. Navegue até Sistema >> Usuários > Autenticação externa >> Clique na caixa suspensa Autenticação de shell, conforme visto na imagem e salve:

    Etapa 2. Implantar alterações no FMC.

    Quando o acesso ao shell para usuários externos é configurado, o login via SSH é ativado conforme visto na imagem:

    3. Autenticação externa para FTD

    A autenticação externa pode ser habilitada no FTD

    Etapa 1. Navegue até Devices > Platform Settings >> External Authentication >> Select Enabled e save:

    4. Funções de usuário

    Os privilégios de usuário são baseados na função de usuário atribuída. Você também pode criar funções de usuário personalizadas com privilégios de acesso personalizados de acordo com as necessidades da sua empresa ou pode usar funções predefinidas, como analista de segurança e administrador de descoberta.

    Há dois tipos de funções de usuário:

    1. Funções de usuário da interface da Web
    2. Funções de usuário CLI

    Para obter uma lista completa de funções predefinidas e mais informações: Funções de usuário

    Para configurar uma função de usuário padrão para todos os Objetos de Autenticação Externa, navegue para System >> Users > External Authentication >> Select Default User Role: Escolha a função de usuário padrão que deseja atribuir e selecione Salvar.

    Para escolher uma função de usuário padrão ou atribuir funções específicas a usuários específicos em um determinado grupo de objetos, você pode selecionar o objeto e navegar para Funções de Acesso Controlado por Grupo, conforme visto na imagem:

    5. SSL ou TLS

    O DNS precisa ser configurado no FMC. Isso ocorre porque o valor de assunto do certificado deve corresponder ao nome de host do servidor principal do objeto de autenticação. Depois que o LDAP seguro é configurado, as capturas de pacote não mostram mais solicitações de associação de texto claro.

    O SSL altera a porta padrão para 636, o TLS a mantém como 389

    Note: A encriptação TLS requer um certificado em todas as plataformas. Para SSL, o FTD também exige um certificado. Para outras plataformas, o SSL não exige um certificado. No entanto, é recomendável que você sempre carregue um certificado para SSL para evitar ataques man-in-the-middle.

    Etapa 1. Navegue até Devices > Platform Settings >> External Authentication >> External authentication object e insira as informações de Advanced Options SSL/TLS:

    Etapa 2. Carregue o certificado da AC que assinou o certificado do servidor. O certificado deve estar no formato PEM.

    Etapa 3. Salve a configuração.

    Verificar

    1. Base de Pesquisa de Teste

    Abra um prompt de comando do Windows ou PowerShell onde o LDAP está configurado e digite o comando:

    dsquery user -name <known username>

    Por exemplo:

    PS C:\Users\Administrator> dsquery user -name harry* 
    PS C:\Users\Administrator> dsquery user -name *

    2. Testar integração LDAP

    Navegue até Sistema > Usuários >> Autenticação externa >> Objeto de autenticação externa. Na parte inferior da página, há uma seção Parâmetros de teste adicionais, conforme visto na imagem:

    Selecione Testar para ver os resultados.

    Troubleshoot

    1. Como o FMC/FTD e o LDAP interagem para baixar usuários?

    Para que o FMC possa receber usuários de um servidor LDAP da Microsoft, o FMC deve primeiro enviar um bindRequest na porta 389 ou 636 (SSL) com as credenciais de administrador LDAP. Quando o servidor LDAP puder autenticar o FMC, ele responderá com uma mensagem de êxito. Finalmente, o FMC pode fazer uma solicitação com a mensagem searchRequest, conforme descrito no diagrama:

    << — A FMC envia: bindRequest(1) "Administrator@SEC-LAB0" simples

    O LDAP deve responder com: bindResponse(1) êxito — >>

    << — A FMC envia: searchRequest(2) "DC=SEC-LAB,DC=NET" inteiraSubtree

    Observe que a autenticação envia senhas em claro por padrão:

    2. Como o FMC/FTD e o LDAP interagem para autenticar uma solicitação de login de usuário?

    Para que um usuário possa fazer login no FMC ou no FTD enquanto a autenticação LDAP estiver habilitada, a solicitação inicial de login é enviada ao Firepower, no entanto, o nome de usuário e a senha são encaminhados ao LDAP para uma resposta de sucesso/negação. Isso significa que o FMC e o FTD não mantêm as informações de senha localmente no banco de dados e, em vez disso, aguardam a confirmação do LDAP sobre como proceder.

    Se o nome de usuário e a senha forem aceitos, uma entrada será adicionada na GUI da Web, como visto na imagem:

    Execute o comando show user no FMC CLISH para verificar as informações do usuário:

    > show user

    O comando exibe informações de configuração detalhadas para o(s) usuário(s) especificado(s). Os seguintes valores são exibidos:

    Login — o nome de login

    UID — o ID de usuário numérico
    Autenticação (local ou remota) — como o usuário é autenticado
    Acesso (Básico ou Config) — o nível de privilégio do usuário
    Habilitado (Habilitado ou Desabilitado) — se o usuário está ativo
    Redefinir (Sim ou Não) — se o usuário deve alterar a senha no próximo login
    Exp (Nunca ou um número) — o número de dias até a senha do usuário ser alterada
    Avisar (N/A ou um número) — o número de dias que um usuário recebe para alterar sua senha antes de ela expirar
    Str (Sim ou Não) — se a senha do usuário deve atender aos critérios de verificação de resistência
    Bloquear (Sim ou Não) — se a conta do usuário foi bloqueada devido a muitas falhas de login
    Máx (N/A ou um número) — o número máximo de logins com falha antes da conta do usuário ser bloqueada

    3. SSL ou TLS não funciona como esperado

    Se você não habilitar o DNS nos FTDs, poderá ver erros no registro de pigtail que sugerem que o LDAP é inalcançável:

    root@SEC-FMC:/$ sudo cd /var/common
    root@SEC-FMC:/var/common$ sudo pigtail
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

    Verifique se o Firepower pode resolver o FQDN dos Servidores LDAP. Caso contrário, adicione o DNS correto conforme visto na imagem:

    DTF: Acesse o CLISH do FTD e execute o comando:

    > configure network dns servers <IP Address>

    FMC: Escolha System > Configuration e, em seguida, selecione Management Interfaces (Interfaces de gerenciamento) conforme visto na imagem:

    Certifique-se de que o certificado carregado no FMC é o certificado da CA que assinou o certificado do servidor LDAP, como ilustrado na imagem abaixo:

    Use capturas de pacotes para confirmar se o servidor LDAP envia as informações corretas:

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Created by Luis Jose Esquivel Blanco
      Cisco Technical Consulting Engineer
    • Edited by Cesar Lopez Zamarripa
      Cisco Security Technical Leader
    • Edited by Cesar Ivan Monterrubio Ramirez
      Cisco Technical Consulting Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos