FMC en FTD configureren met LDAP voor externe verificatie

Downloadopties

  • PDF     (2.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.9 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juli 2024
Document-id:215538

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de externe verificatie van Microsoft Lichtgewicht Directory Access Protocol (LDAP) kunt inschakelen met Cisco FMC en FTD.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco Firepower Threat Defence (FTD)
    • Cisco Firepower Management Center (FMC)
    • Microsoft LDAP

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • FTD 6.5.0-123
    • VCC 6.5.0-15
    • Microsoft Server 2012

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Het VCC en de beheerde apparaten omvatten een standaard admin-account voor beheertoegang. U kunt aangepaste gebruikersaccounts toevoegen op het VCC en op beheerde apparaten, als interne gebruikers of, indien ondersteund voor uw model, als externe gebruikers op een LDAP- of RADIUS-server. Externe gebruikersverificatie wordt ondersteund voor FMC en FTD.

    · Interne gebruiker - Het FMC/FTD-apparaat controleert een lokale database op gebruikersverificatie.

    · Externe gebruiker - Als de gebruiker niet aanwezig is in de lokale database, vult de systeeminformatie van een externe LDAP- of RADIUS-verificatieserver zijn gebruikersdatabase.

    Netwerkdiagram

    Basistopologie

    Configureren

    Basis LDAP-configuratie in FMC GUI

    Stap 1. Navigeer naar System > Users > External Authentication:

    Toegang tot externe verificatie-instellingen in Cisco FMC en FTD

    Stap 2. Kies Add External Authentication Object:

    Een extern verificatieobject toevoegen in Cisco FMC en FTD

    Stap 3. Vul de vereiste velden in:

    Vereiste velden invullen voor configuratie van externe verificatie in Cisco FMC en FTD

    Vereiste velden invullen voor configuratie van externe verificatie in Cisco FMC en FTD

    Stap 4. Het External Authenticationobject inschakelen en opslaan:

    Het externe verificatieobject inschakelen en opslaan in Cisco FMC en FTD

    Shell Access voor externe gebruikers

    Het FMC ondersteunt twee verschillende interne admin-gebruikers: een voor de webinterface en een ander met CLI-toegang. Dit betekent dat er een duidelijk onderscheid bestaat tussen wie toegang heeft tot de GUI en wie ook toegang heeft tot CLI. Op het moment van installatie is het wachtwoord voor de standaard beheerder gebruiker gesynchroniseerd om hetzelfde te zijn op zowel GUI als CLI, maar ze worden bijgehouden door verschillende interne mechanismen en kunnen uiteindelijk anders zijn.

    LDAP Externe gebruikers moeten ook toegang tot shell krijgen.

    Stap 1. Navigeer naar System > Users > External Authentication het Shell Authentication vervolgkeuzevenster en klik op in de afbeelding en sla op:

    Access Shell-verificatie-instellingen in Cisco FMC en FTD

    Stap 2. Veranderingen in het VCC toepassen.

    Zodra shell-toegang voor externe gebruikers is geconfigureerd, wordt inloggen via SSH ingeschakeld zoals in de afbeelding:

    Configuratie-wijzigingen implementeren in Cisco FMC voor Shell Access en inloggen SSH inschakelen

    Externe verificatie naar FTD

    Externe verificatie kan worden ingeschakeld op FTD.

    Stap 1. Navigeer naar Devices > Platform Settings > External Authentication. Klik op Enabled en sla op:

    LDAP aan FTD toevoegen

    Gebruikersrollen

    Gebruikersrechten zijn gebaseerd op de toegewezen gebruikersrol. U kunt ook aangepaste gebruikersrollen maken met toegangsrechten die zijn afgestemd op de behoeften van uw organisatie of u kunt vooraf gedefinieerde rollen gebruiken zoals Security Analyst en Discovery Admin.

    Er zijn twee soorten gebruikersrollen:

    1. Gebruikersrollen voor webinterfaces
    2. CLI-gebruikersrollen
      3.

    Voor een volledige lijst van vooraf gedefinieerde rollen en meer informatie, raadpleegt u: Gebruikersrollen.

    Om een standaardgebruikersrol voor alle Externe Verificatieobjecten te configureren, navigeer naar System > Users > External Authentication > Default User Role. Kies de standaardgebruikersrol die u wilt toewijzen en klik op Save.

    Standaardgebruikersrol voor alle externe verificatieobjecten

    Om een standaardgebruikersrol te kiezen of specifieke rollen toe te wijzen aan specifieke gebruikers in een bepaalde objectgroep, kunt u het object kiezen en naar Group Controlled Access Roles navigeren zoals in de afbeelding:

    Wijs gebruikersrollen toe in objectgroepen voor gecontroleerde toegang in Cisco FMC

    SSL of TLS

    DNS moet in het VCC worden geconfigureerd. De reden hiervoor is dat de Onderwerpwaarde van het Certificaat gelijk moet zijn aan de Authentication Object Primary Server Hostname. Zodra Secure LDAP is geconfigureerd, tonen pakketopnamen geen duidelijke tekstbindverzoeken meer.

    SSL verandert de standaardpoort in 636 en TLS houdt het als 389.

    Opmerking: voor TLS-versleuteling is een certificaat op alle platforms vereist. Voor SSL vereist het FTD ook een certificaat. Voor andere platforms heeft SSL geen certificaat nodig. Het wordt echter aanbevolen om altijd een certificaat voor SSL te uploaden om man-in-the-middle aanvallen te voorkomen.

    Stap 1. Navigeer naar Devices > Platform Settings > External Authentication > External Authentication Object en voer de SSL/TLS-informatie over geavanceerde opties in:

    Geavanceerde SSL/TLS-opties voor externe verificatieobjecten configureren in Cisco FMC

    Stap 2. Upload het certificaat van de CA die het certificaat van de server heeft ondertekend. Het certificaat moet in PEM-formaat zijn opgesteld.

    CA-certificaat uploaden voor verificatie van servercertificaat in Cisco FMC

    Stap 3. Sla de configuratie op.

    Verifiëren

    Zoekbasis testen

    Open een Windows opdrachtprompt of PowerShell waar LDAP is geconfigureerd en typ de opdracht: dsquery user -name <known username>.

    Voorbeeld:

    PS C:\Users\Administrator> dsquery user -name harry* 
    PS C:\Users\Administrator> dsquery user -name *

    Opdrachtprompt of PowerShell gebruiken om een bekende gebruiker in LDAP-configuratie op te zoeken

    Test LDAP-integratie

    Navigeer naar System > Users > External Authentication > External Authentication Object. Onderaan de pagina ziet u een Additional Test Parameters gedeelte in de afbeelding:

    Toegang tot aanvullende testparameters in configuratie van externe verificatie-objecten in Cisco FMC

    Kies Test om de resultaten te zien.

    Test voor configuratie van externe verificatieobjecten in Cisco FMC uitvoeren

    Opname van testresultaten

    Problemen oplossen

    Hoe FMC/FTD en LDAP omgaan met Download Gebruikers

    Om het VCC in staat te stellen gebruikers van een Microsoft LDAP-server te halen, moet het VCC eerst een bind verzoek verzenden op poort 389 of 636 (SSL) met de LDAP-beheerderreferenties. Zodra de LDAP-server in staat is om het VCC te authenticeren, reageert het met een succesbericht. Tot slot kan het VCC een verzoek indienen met het bericht "zoekopdracht" Aanvraag zoals beschreven in het diagram:

    << ---  FMC sends: bindRequest(1) "Administrator@SEC-LAB0" simple LDAP must respond with: bindResponse(1) success --- >> << --- FMC sends: searchRequest(2) "DC=SEC-LAB,DC=NET" wholeSubtree

    Bericht dat de authentificatie wachtwoorden in duidelijk door gebrek verzendt:

    Beveiligde wachtwoordtransmissie in externe verificatieconfiguratie in Cisco FMC inschakelen

    Hoe communiceren FMC/FTD en LDAP om een gebruikersinlogaanvraag te verifiëren

    Om een gebruiker in staat te stellen om in te loggen op FMC of FTD terwijl LDAP-verificatie is ingeschakeld, wordt de eerste inlogaanvraag naar Firepower gestuurd. De gebruikersnaam en het wachtwoord worden echter doorgestuurd naar LDAP voor een succes/ontkenning-antwoord. Dit betekent dat het VCC en de FTD de wachtwoordinformatie niet lokaal in de gegevensbank bewaren en in plaats daarvan wachten op bevestiging van LDAP over hoe te werk te gaan.

    Inloggen, aanvraagstroom

    Inloggen via FMC GUI

    Succesvolle gebruiker Log in in Web GUI na LDAP-verificatie in Cisco FMC en FTD

    Als de gebruikersnaam en het wachtwoord worden geaccepteerd, wordt een vermelding toegevoegd in de web GUI zoals in de afbeelding:

    Gebruiker toegevoegd aan GUI

    Voer de opdracht show user in FMC CLISH om gebruikersinformatie te verifiëren: > show user <username>

    Op de opdracht wordt gedetailleerde configuratie-informatie voor de gespecificeerde gebruiker(s) weergegeven. Deze waarden worden weergegeven:

    Inloggen — de inlognaam

    UID — de numerieke gebruikers-ID
    Auth (lokaal of extern) — hoe de gebruiker wordt geverifieerd
    Toegang (Basis of Config) — het prioriteitsniveau van de gebruiker
    Ingeschakeld (Ingeschakeld of Uitgeschakeld) — of de gebruiker actief is
    Beginwaarden (Ja of Nee) — of de gebruiker het wachtwoord moet wijzigen bij de volgende aanmelding
    Exp (Nooit of een getal) — het aantal dagen tot het wachtwoord van de gebruiker moet worden gewijzigd
    Waarschuwing (N.v.t. of een nummer) — het aantal dagen dat een gebruiker krijgt om zijn wachtwoord te wijzigen voordat het verloopt
    Str (Ja of Nee) — of het wachtwoord van de gebruiker moet voldoen aan de criteria om de sterkte te controleren
    Vergrendelen (Ja of Nee) — of de account van de gebruiker is vergrendeld vanwege een groot aantal storingen
    Max. (N/A of een getal) — het maximale aantal mislukte logins voordat de account van de gebruiker is vergrendeld

    SSL of TLS werkt niet zoals verwacht

    Als u DNS op de FTD's niet inschakelt, kunt u fouten in het logboek zien die erop wijzen dat LDAP onbereikbaar is:

    root@SEC-FMC:/$ sudo cd /var/common
    root@SEC-FMC:/var/common$ sudo pigtail
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

    Zorg ervoor dat Firepower in staat is om de LDAP-servers volledig gekwalificeerde domeinnaam (FQDN) op te lossen. Als dit niet het geval is, voegt u de juiste DNS toe zoals in de afbeelding wordt weergegeven.

    FTD: Open de FTD CLISH en voer de opdracht uit: > configure network dns servers <IP Address>.

    Resolve FQDN

    FMC: Kies System > Configuration en kies vervolgens beheerinterfaces zoals in de afbeelding:

    Configuratie van toegangsbeheer-interfaces in Cisco FMC

    Zorg ervoor dat het certificaat dat is geüpload naar het VCC het certificaat is van de CA die het servercertificaat van de LDAP heeft ondertekend, zoals wordt geïllustreerd in de afbeelding:

    Controleer CA-certificaat voor LDAP Server in Cisco FMC

    Gebruik pakketopnamen om te bevestigen dat LDAP-server de juiste informatie verstuurt:

    SSL-pakketvastlegging

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    15-Jul-2024
    Bijgewerkte titel, inleiding, Alt-tekst en opmaak.
    1.0
    20-May-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Luis Jose Esquivel Blanco
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten