简介
本文档介绍如何使用Cisco FMC和FTD启用Microsoft轻量级目录访问协议(LDAP)外部身份验证。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科Firepower威胁防御(FTD)
- 思科Firepower管理中心(FMC)
- Microsoft LDAP
使用的组件
本文档中的信息基于以下软件和硬件版本:
- FTD 6.5.0-123
- FMC 6.5.0-115
- Microsoft Server 2012
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
FMC和受管设备包含用于管理访问的默认管理员帐户。您可以在FMC和受管设备上添加自定义用户帐户,可以将其作为内部用户,也可以作为LDAP或RADIUS服务器上的外部用户(如果您的型号支持)。FMC和FTD支持外部用户身份验证。
·内部用户 — FMC/FTD设备检查本地数据库以进行用户身份验证。
·外部用户 — 如果本地数据库中不存在该用户,则来自外部LDAP或RADIUS身份验证服务器的系统信息将填充其用户数据库。
网络图

配置
FMC GUI中的基本LDAP配置
步骤1.导航至System > Users > External Authentication
:

步骤2.选择Add External Authentication Object
:

步骤3.填写所需字段:


步骤4.启用External Authentication
对象并保存:

外部用户的外壳访问
FMC支持两个不同的内部管理员用户:一个用于Web界面,另一个具有CLI访问权限。这意味着谁可以访问GUI,谁也可以访问CLI之间有着明显的区别。在安装时,默认管理员用户的密码将同步,以便在GUI和CLI上相同,但是,它们由不同的内部机制跟踪,最终可能不同。
还必须授予LDAP外部用户外壳访问权限。
步骤1.导航至System > Users > External Authentication
,点Shell Authentication
击下拉框(如图所示)并保存:

步骤2.在FMC中部署更改。
配置外部用户的外壳访问后,通过SSH登录即启用,如图所示:

FTD的外部身份验证
可以在FTD上启用外部身份验证。
步骤1.导航至Devices > Platform Settings > External Authentication
。单击Enabled
并保存:

用户角色
用户权限基于分配的用户角色。您还可以创建自定义用户角色,这些角色具有根据组织需求定制的访问权限,或者您可以使用预定义角色,如安全分析师和发现管理员。
用户角色有两种类型:
- Web界面用户角色
- CLI用户角色
有关预定义角色的完整列表和详细信息,请参阅用户角色。
要为所有外部身份验证对象配置默认用户角色,请导航至System > Users > External Authentication
> Default User Role
。选择要分配的默认用户角色,然后单击Save
。

要选择默认用户角色或向特定对象组中的特定用户分配特定角色,可以选择对象并导航至Group Controlled Access Roles
,如图所示:

SSL或TLS
必须在FMC中配置DNS。这是因为证书的Subject值必须与匹Authentication Object Primary Server Hostname
配。配置安全LDAP后,数据包捕获不再显示明文绑定请求。
SSL将默认端口更改为636,TLS将其保留为389。
注意:TLS加密需要所有平台上的证书。对于SSL,FTD还需要证书。对于其他平台,SSL不需要证书。但是,建议您始终为SSL上传证书,以防止中间人攻击。
第1步:导航至Devices > Platform Settings > External Authentication > External Authentication Object
,然后输入高级选项SSL/TLS信息:

步骤2.上传签署服务器证书的CA的证书。证书必须是PEM格式。

步骤3.保存配置。
验证
测试搜索库
打开配置了LDAP的Windows命令提示符或PowerShell并键入命令:dsquery user -name
。
例如:
PS C:\Users\Administrator> dsquery user -name harry*
PS C:\Users\Administrator> dsquery user -name *

测试LDAP集成
导航至System > Users > External Authentication > External Authentication Object
。页面底部有一个部分,Additional Test Parameters
如图所示:

选择测试以查看结果。


故障排除
FMC/FTD和LDAP如何进行交互以下载用户
为了使FMC能够从Microsoft LDAP服务器提取用户,FMC必须首先使用LDAP管理员凭证在端口389或636(SSL)上发送绑定请求。一旦LDAP服务器能够对FMC进行身份验证,它将以成功消息做出响应。最后,FMC能够使用搜索请求消息发出请求,如图所示:
<< --- FMC sends: bindRequest(1) "Administrator@SEC-LAB0" simple
LDAP must respond with: bindResponse(1) success --- >>
<< --- FMC sends: searchRequest(2) "DC=SEC-LAB,DC=NET" wholeSubtree
请注意,默认情况下,身份验证以明文形式发送密码:

FMC/FTD和LDAP如何进行交互以验证用户登录请求
为了使用户能够在启用LDAP身份验证时登录到FMC或FTD,初始登录请求将发送到Firepower,但用户名和密码将转发到LDAP以成功/拒绝响应。这意味着FMC和FTD不会将密码信息保存在本地数据库中,而是等待LDAP确认如何继续。



如果接受用户名和密码,则会在Web GUI中添加一个条目,如图所示:

在FMC CLISH中运行命令show user,以验证用户信息: > show user
命令显示指定用户的详细配置信息。 将显示以下值:
Log in — 登录名称
UID — 数字用户ID
Auth(本地或远程) — 如何对用户进行身份验证
访问(基本或配置) — 用户的权限级别
已启用(启用或禁用) — 用户是否处于活动状态
重置(是或否) — 用户是否必须在下次登录时更改密码
Exp(Never或数字) — 必须更改用户密码之前的天数
Warn(N/A or a number) — 指定用户在其密码到期之前更改其密码的天数
Str(Yes或No) — 用户的密码是否必须满足条件才能检查强度
锁定(是或否) — 用户帐户是否由于登录失败次数过多而被锁定
Max(N/A or a number) — 锁定用户帐户之前登录失败的最大次数
SSL或TLS未按预期工作
如果未在FTD上启用DNS,则可以在尾部日志中看到提示LDAP无法访问的错误:
root@SEC-FMC:/$ sudo cd /var/common
root@SEC-FMC:/var/common$ sudo pigtail
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15 user=h.potter
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]
确保Firepower能够解析LDAP服务器完全限定域名(FQDN)。 否则,请添加映像中所示的正确DNS。
FTD:访问FTD CLISH并运行命令: > configure network dns servers
.

FMC:选择System > Configuration
,然后选择Management Interfaces,如图所示:

确保上传到FMC的证书是签署LDAP服务器证书的CA的证书,如图所示:

使用数据包捕获确认LDAP服务器发送正确的信息:

相关信息