Sie können ein FireSIGHT Management Center so konfigurieren, dass externe Active Directory-LDAP-Benutzer den Zugriff auf die Webbenutzeroberfläche und die CLI authentifizieren können. In diesem Artikel wird erläutert, wie das Authentifizierungsobjekt für Microsoft AD Authentication Over SSL/TLS konfiguriert, getestet und Fehler behoben werden.
Cisco empfiehlt, dass Sie über Kenntnisse in den Bereichen Benutzerverwaltung und externes Authentifizierungssystem im FireSIGHT Management Center verfügen.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Schritt 1: Konfigurieren des Authentifizierungsobjekts ohne SSL/TLS-Verschlüsselung.
Schritt 2: Testen des Authentifizierungsobjekts über SSL und TLS ohne Zertifizierungsstellenzertifikat.
Testen Sie das Authentifizierungsobjekt über SSL und TLS ohne CA-Zertifikat. Falls ein Problem auftritt, wenden Sie sich an Ihren Systemadministrator, um dieses Problem auf dem AD LDS-Server zu beheben. Wenn zuvor ein Zertifikat in das Authentifizierungsobjekt hochgeladen wurde, wählen Sie "Zertifikat wurde geladen (Wählen Sie zum Löschen des geladenen Zertifikats aus)", um das Zertifikat zu löschen und AO erneut zu testen.
Wenn das Authentifizierungsobjekt fehlschlägt, bitten Sie Ihren Systemadministrator, die AD LDS SSL/TLS-Konfiguration zu überprüfen, bevor Sie mit dem nächsten Schritt fortfahren. Sie können jedoch die folgenden Schritte ausführen, um das Authentifizierungsobjekt mit dem Zertifizierungsstellenzertifikat weiter zu testen.
Schritt 3: Laden Sie Base64 CA Cert herunter.
Schritt 4: Überprüfen Sie den Betreff-Wert im Zertifikat.
Schritt 5: Testen Sie das Zertifikat auf einem Microsoft Windows-Computer. Sie können diesen Test auf einer Arbeitsgruppe oder Domäne ausführen, die einem Windows-Computer beigetreten ist.
cd c:\Certificate
certutil -v -urlfetch -verify certnew.cer >cacert.test.txt
Wenn der Windows-Computer bereits der Domäne beigetreten ist, sollte sich das Zertifizierungsstellenzertifikat im Zertifikatsspeicher befinden, und es sollte kein Fehler in cacert.test.txt auftreten. Wenn sich der Windows-Computer jedoch in einer Arbeitsgruppe befindet, wird möglicherweise eine der beiden Meldungen angezeigt, je nachdem, ob CA-Zertifikate in der Liste der vertrauenswürdigen Zertifizierungsstellen vorhanden sind.
a) Die CA ist vertrauenswürdig, aber keine CRL für die CA gefunden:
ERROR: Verifying leaf certificate revocation status returned The revocation function
was unable to check revocation because the revocation server was offline. 0x80092013
(-2146885613)
CertUtil: The revocation function was unable to check revocation because the
revocation server was offline.
b) Die CA ist nicht vertrauenswürdig:
Verifies against UNTRUSTED root
Cert is a CA certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.
Wenn Sie wie unten beschrieben weitere FEHLER-Meldungen erhalten, wenden Sie sich an Ihren Systemadministrator, um das Problem mit der AD LDS- und der Zwischenzeitanzeige zu beheben. Diese Fehlermeldungen weisen auf eine falsche Zertifizierung, auf das Thema im Zertifizierungsstellenzertifikat, auf fehlende Zertifikatsketten usw. hin.
Failed "AIA" Time: 0
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or d evice is no longer available
Schritt 6: Nachdem Sie bestätigt haben, dass das CA-Zertifikat gültig ist und den Test in Schritt 5 bestanden hat, laden Sie das Zertifikat in das Authentifizierungsobjekt hoch, und führen Sie den Test aus.
Schritt 7: Speichern Sie das Authentifizierungsobjekt, und wenden Sie die Systemrichtlinie erneut an.