使用LDAP配置FMC和FTD以进行外部身份验证

下载选项

PDF (2.9 MB)
在各种设备上使用 Adobe Reader 查看

已更新: 2025 年 7 月 23 日

文档 ID:215538

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用Cisco FMC和FTD启用Microsoft轻量级目录访问协议(LDAP)外部身份验证。

先决条件

要求

Cisco 建议您了解以下主题：

思科Firepower威胁防御(FTD)
思科Firepower管理中心(FMC)
Microsoft LDAP

使用的组件

本文档中的信息基于以下软件和硬件版本：

FTD 6.5.0-123
FMC 6.5.0-115
Microsoft Server 2012

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

FMC和受管设备包含用于管理访问的默认管理员帐户。您可以在FMC和受管设备上添加自定义用户帐户，可以将其作为内部用户，也可以作为LDAP或RADIUS服务器上的外部用户（如果您的型号支持）。FMC和FTD支持外部用户身份验证。

·内部用户 — FMC/FTD设备检查本地数据库以进行用户身份验证。

·外部用户 — 如果本地数据库中不存在该用户，则来自外部LDAP或RADIUS身份验证服务器的系统信息将填充其用户数据库。

网络图

Basic Topology

配置

FMC GUI中的基本LDAP配置

步骤1.导航至System > Users > External Authentication:

Access External Authentication Settings in Cisco FMC and FTD

步骤2.选择Add External Authentication Object:

Add an External Authentication Object in Cisco FMC and FTD

步骤3.填写所需字段：

Complete Required Fields for External Authentication Configuration in Cisco FMC and FTD

步骤4.启用External Authentication对象并保存:

Enable and Save the External Authentication Object in Cisco FMC and FTD

外部用户的外壳访问

FMC支持两个不同的内部管理员用户：一个用于Web界面，另一个具有CLI访问权限。这意味着谁可以访问GUI，谁也可以访问CLI之间有着明显的区别。在安装时，默认管理员用户的密码将同步，以便在GUI和CLI上相同，但是，它们由不同的内部机制跟踪，最终可能不同。

还必须授予LDAP外部用户外壳访问权限。

步骤1.导航至System > Users > External Authentication，点Shell Authentication 击下拉框（如图所示）并保存:

Access Shell Authentication Settings in Cisco FMC and FTD

步骤2.在FMC中部署更改。

配置外部用户的外壳访问后，通过SSH登录即启用，如图所示：

Deploy Configuration Changes in Cisco FMC for Shell Access and Enable SSH Log In

FTD的外部身份验证

可以在FTD上启用外部身份验证。

步骤1.导航至Devices > Platform Settings > External Authentication。单击Enabled并保存:

Add LDAP to FTD

用户角色

用户权限基于分配的用户角色。您还可以创建自定义用户角色，这些角色具有根据组织需求定制的访问权限，或者您可以使用预定义角色，如安全分析师和发现管理员。

用户角色有两种类型：

Web界面用户角色
CLI用户角色

有关预定义角色的完整列表和详细信息，请参阅用户角色。

要为所有外部身份验证对象配置默认用户角色，请导航至System > Users > External Authentication > Default User Role。选择要分配的默认用户角色，然后单击Save。

Default User Role for All External Authentication Objects

要选择默认用户角色或向特定对象组中的特定用户分配特定角色，可以选择对象并导航至Group Controlled Access Roles，如图所示：

Assign User Roles in Object Groups for Controlled Access in Cisco FMC

SSL或TLS

必须在FMC中配置DNS。这是因为证书的Subject值必须与匹Authentication Object Primary Server Hostname配。配置安全LDAP后，数据包捕获不再显示明文绑定请求。

SSL将默认端口更改为636,TLS将其保留为389。

注意：TLS加密需要所有平台上的证书。对于SSL，FTD还需要证书。对于其他平台，SSL不需要证书。但是，建议您始终为SSL上传证书，以防止中间人攻击。

第1步：导航至Devices > Platform Settings > External Authentication > External Authentication Object，然后输入高级选项SSL/TLS信息：

Configure SSL/TLS Advanced Options for External Authentication Objects in Cisco FMC

步骤2.上传签署服务器证书的CA的证书。证书必须是PEM格式。

Upload CA Certificate for Server Certificate Verification in Cisco FMC

步骤3.保存配置。

验证

测试搜索库

打开配置了LDAP的Windows命令提示符或PowerShell并键入命令：dsquery user -name 。

例如：

PS C:\Users\Administrator> dsquery user -name harry* 
PS C:\Users\Administrator> dsquery user -name *

Use Command Prompt or PowerShell to Search for a Known User in LDAP Configuration

测试LDAP集成

导航至System > Users > External Authentication > External Authentication Object。页面底部有一个部分，Additional Test Parameters如图所示：

Access Additional Test Parameters in External Authentication Object Configuration in Cisco FMC

选择测试以查看结果。

Perform Test for External Authentication Object Configuration in Cisco FMC

Test Results Capture

故障排除

FMC/FTD和LDAP如何进行交互以下载用户

为了使FMC能够从Microsoft LDAP服务器提取用户，FMC必须首先使用LDAP管理员凭证在端口389或636(SSL)上发送绑定请求。一旦LDAP服务器能够对FMC进行身份验证，它将以成功消息做出响应。最后，FMC能够使用搜索请求消息发出请求，如图所示：

<< --- FMC sends: bindRequest(1) "Administrator@SEC-LAB0" simple LDAP must respond with: bindResponse(1) success --- >> << --- FMC sends: searchRequest(2) "DC=SEC-LAB,DC=NET" wholeSubtree

请注意，默认情况下，身份验证以明文形式发送密码：

Enable Secure Password Transmission in External Authentication Configuration in Cisco FMC

FMC/FTD和LDAP如何进行交互以验证用户登录请求

为了使用户能够在启用LDAP身份验证时登录到FMC或FTD，初始登录请求将发送到Firepower，但用户名和密码将转发到LDAP以成功/拒绝响应。这意味着FMC和FTD不会将密码信息保存在本地数据库中，而是等待LDAP确认如何继续。

FMC GUI Log In

Successful User Log In Entry in Web GUI After LDAP Authentication in Cisco FMC and FTD

如果接受用户名和密码，则会在Web GUI中添加一个条目，如图所示：

User Added to GUI

在FMC CLISH中运行命令show user，以验证用户信息： > show user

命令显示指定用户的详细配置信息。将显示以下值：

UID — 数字用户ID
Auth（本地或远程） — 如何对用户进行身份验证
访问（基本或配置） — 用户的权限级别
已启用（启用或禁用） — 用户是否处于活动状态
重置（是或否） — 用户是否必须在下次登录时更改密码
Exp（Never或数字） — 必须更改用户密码之前的天数
Warn(N/A or a number) — 指定用户在其密码到期之前更改其密码的天数
Str（Yes或No） — 用户的密码是否必须满足条件才能检查强度
锁定（是或否） — 用户帐户是否由于登录失败次数过多而被锁定
Max(N/A or a number) — 锁定用户帐户之前登录失败的最大次数

SSL或TLS未按预期工作

如果未在FTD上启用DNS，则可以在尾部日志中看到提示LDAP无法访问的错误：

root@SEC-FMC:/$ sudo cd /var/common
root@SEC-FMC:/var/common$ sudo pigtail

MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

确保Firepower能够解析LDAP服务器完全限定域名(FQDN)。否则，请添加映像中所示的正确DNS。

FTD:访问FTD CLISH并运行命令： > configure network dns servers .

FMC:选择System > Configuration，然后选择Management Interfaces，如图所示：

Access Management Interfaces Configuration in Cisco FMC

确保上传到FMC的证书是签署LDAP服务器证书的CA的证书，如图所示：

Verify CA Certificate for LDAP Server in Cisco FMC

使用数据包捕获确认LDAP服务器发送正确的信息：

SSL Packet Capture

版本	发布日期	备注
4.0	23-Jul-2025	重新认证
3.0	15-Jul-2024	已更新标题、简介、可选文本和格式。
1.0	20-May-2020	初始版本