Konfigurieren von FMC und FTD mit LDAP für die externe Authentifizierung

Download-Optionen

  • PDF     (2.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.9 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.7 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. Juli 2024
Dokument-ID:215538

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die externe Authentifizierung über das Microsoft Lightweight Directory Access Protocol (LDAP) mit Cisco FMC und FTD aktiviert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Cisco Firepower Threat Defense (FTD)
    • Cisco FirePOWER Management Center (FMC)
    • Microsoft-LDAP

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • FTD 6.5.0-123
    • FMC 6.5.0-115
    • Microsoft Server 2012

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Das FMC und die verwalteten Geräte umfassen ein Standard-Administratorkonto für den Managementzugriff. Sie können benutzerdefinierte Benutzerkonten auf dem FMC und auf verwalteten Geräten entweder als interne Benutzer oder, falls für Ihr Modell unterstützt, als externe Benutzer auf einem LDAP- oder RADIUS-Server hinzufügen. Die Authentifizierung externer Benutzer wird für FMC und FTD unterstützt.

    ・ Interner Benutzer - Das FMC/FTD-Gerät überprüft eine lokale Datenbank auf Benutzerauthentifizierung.

    ・ Externer Benutzer - Wenn der Benutzer nicht in der lokalen Datenbank vorhanden ist, werden die Systeminformationen eines externen LDAP- oder RADIUS-Authentifizierungsservers in die Benutzerdatenbank eingefügt.

    Netzwerkdiagramm

    Topologie-Grundlagen

    Konfigurieren

    Grundlegende LDAP-Konfiguration in der FMC-GUI

    Schritt 1: Navigieren Sie zu:System > Users > External Authentication

    Zugriff auf Einstellungen für die externe Authentifizierung in Cisco FMC und FTD

    Schritt 2: Wählen Sie Add External Authentication Object:

    Hinzufügen eines externen Authentifizierungsobjekts in Cisco FMC und FTD

    Schritt 3: Füllen Sie die erforderlichen Felder aus:

    Vollständige Pflichtfelder für die Konfiguration der externen Authentifizierung in Cisco FMC und FTD

    Vollständige Pflichtfelder für die Konfiguration der externen Authentifizierung in Cisco FMC und FTD

    Schritt 4: Aktivieren Sie External AuthenticationObjekt und Speichern:

    Aktivieren und Speichern des externen Authentifizierungsobjekts in Cisco FMC und FTD

    Shell-Zugriff für externe Benutzer

    Das FMC unterstützt zwei verschiedene interne Admin-Benutzer: einen für die Webschnittstelle und einen weiteren mit CLI-Zugriff. Das bedeutet, dass klar unterschieden wird, wer auf die GUI zugreifen kann und wer auch auf die CLI zugreifen kann. Zum Zeitpunkt der Installation wird das Kennwort für den Standardadmin-Benutzer synchronisiert, damit es auf der GUI und der CLI identisch ist. Sie werden jedoch von verschiedenen internen Mechanismen überwacht und können sich letztendlich unterscheiden.

    Externen LDAP-Benutzern muss ebenfalls der Zugriff auf die Shell gewährt werden.

    Schritt 1: Navigieren Sie zu System > Users > External Authentication, und klicken Sie auf das Shell Authentication Dropdown-Feld, wie im Bild zu sehen und zu speichern:

    Zugriff auf Shell-Authentifizierungseinstellungen in Cisco FMC und FTD

    Schritt 2: Bereitstellen von Änderungen in FMC

    Nach der Konfiguration des Shell-Zugriffs für externe Benutzer wird die Anmeldung über SSH aktiviert (siehe Abbildung):

    Konfigurationsänderungen in Cisco FMC für Shell-Zugriff bereitstellen und SSH-Anmeldung aktivieren

    Externe Authentifizierung gegenüber FTD

    Die externe Authentifizierung kann auf FTD aktiviert werden.

    Schritt 1: Navigieren Sie zu Devices > Platform Settings > External Authentication. Klicken Sie auf Enabled, und speichern Sie:

    LDAP zu FTD hinzufügen

    Benutzerrollen

    Benutzerberechtigungen basieren auf der zugewiesenen Benutzerrolle. Sie können auch benutzerdefinierte Benutzerrollen mit Zugriffsberechtigungen erstellen, die auf die Anforderungen Ihrer Organisation zugeschnitten sind, oder Sie können vordefinierte Rollen verwenden, z. B. Sicherheitsanalyst und Ermittlungsadministrator.

    Es gibt zwei Arten von Benutzerrollen:

    1. Benutzerrollen für Webschnittstelle
    2. CLI-Benutzerrollen
      3.

    Eine vollständige Liste der vordefinierten Rollen und weitere Informationen finden Sie unter Benutzerrollen.

    Um eine Standardbenutzerrolle für alle externen Authentifizierungsobjekte zu konfigurieren, navigieren Sie zu System > Users > External Authentication > Default User Role. Wählen Sie die Standard-Benutzerrolle aus, die Sie zuweisen möchten, und klicken Sie auf Save.

    Standardbenutzerrolle für alle externen Authentifizierungsobjekte

    Um eine Standardbenutzerrolle auszuwählen oder bestimmten Benutzern in einer bestimmten Objektgruppe bestimmte Rollen zuzuweisen, können Sie das Objekt auswählen und wie im Bild dargestellt zu dieser navigierenGroup Controlled Access Roles:

    Zuweisen von Benutzerrollen in Objektgruppen für kontrollierten Zugriff in Cisco FMC

    SSL oder TLS

    DNS muss im FMC konfiguriert werden. Der Grund hierfür ist, dass der Betreff-Wert des Zertifikats mit dem Authentication Object Primary Server Hostname übereinstimmen muss. Nach der Konfiguration von Secure LDAP werden bei der Paketerfassung keine Anforderungen für die Klartextbindung mehr angezeigt.

    SSL ändert den Standardport in 636, und TLS behält den Wert 389 bei.

    Hinweis: Für die TLS-Verschlüsselung ist ein Zertifikat auf allen Plattformen erforderlich. Für SSL benötigt die FTD auch ein Zertifikat. Für andere Plattformen ist für SSL kein Zertifikat erforderlich. Es wird jedoch empfohlen, immer ein Zertifikat für SSL hochzuladen, um Man-in-the-Middle-Angriffe zu verhindern.

    Schritt 1: Navigieren Sie zu Devices > Platform Settings > External Authentication > External Authentication Object, und geben Sie die Informationen zu den erweiterten Optionen SSL/TLS ein:

    Erweiterte SSL/TLS-Optionen für externe Authentifizierungsobjekte in Cisco FMC konfigurieren

    Schritt 2: Laden Sie das Zertifikat der Zertifizierungsstelle hoch, die das Zertifikat des Servers signiert hat. Das Zertifikat muss im PEM-Format vorliegen.

    CA-Zertifikat für die Überprüfung von Serverzertifikaten in Cisco FMC hochladen

    Schritt 3: Speichern Sie die Konfiguration.

    Überprüfung

    Test-Suchbasis

    Öffnen Sie eine Windows-Eingabeaufforderung oder PowerShell, in der LDAP konfiguriert ist, und geben Sie den folgenden Befehl ein: dsquery user -name <known username>.

    Beispiele:

    PS C:\Users\Administrator> dsquery user -name harry* 
    PS C:\Users\Administrator> dsquery user -name *

    Verwenden Sie die Eingabeaufforderung oder PowerShell, um in der LDAP-Konfiguration nach einem bekannten Benutzer zu suchen.

    LDAP-Integration testen

    Navigieren Sie zu System > Users > External Authentication > External Authentication Object. Unten auf der Seite sehen Sie einen Additional Test Parameters Ausschnitt aus dem Bild:

    Zugriff auf zusätzliche Testparameter in der Konfiguration des externen Authentifizierungsobjekts in Cisco FMC

    Wählen Sie Test, um die Ergebnisse anzuzeigen.

    Test der Konfiguration des externen Authentifizierungsobjekts im Cisco FMC durchführen

    Erfassung der Testergebnisse

    Fehlerbehebung

    Wie interagieren FMC/FTD und LDAP, um Benutzer herunterzuladen?

    Damit FMC Benutzer von einem Microsoft LDAP-Server abrufen kann, muss das FMC zunächst eine Verbindungsanforderung an Port 389 oder 636 (SSL) mit den LDAP-Administratoranmeldeinformationen senden. Sobald der LDAP-Server FMC authentifizieren kann, antwortet er mit einer Erfolgsmeldung. Schließlich kann FMC eine Anfrage mit der Suchanforderungsnachricht wie in der folgenden Abbildung beschrieben stellen:

    << ---  FMC sends: bindRequest(1) "Administrator@SEC-LAB0" simple LDAP must respond with: bindResponse(1) success --- >> << --- FMC sends: searchRequest(2) "DC=SEC-LAB,DC=NET" wholeSubtree

    Beachten Sie, dass bei der Authentifizierung Kennwörter standardmäßig unverschlüsselt gesendet werden:

    Sichere Kennwortübertragung in der Konfiguration für die externe Authentifizierung in Cisco FMC aktivieren

    Wie interagieren FMC/FTD und LDAP, um eine Benutzeranmeldung zu authentifizieren?

    Damit sich ein Benutzer bei aktivierter LDAP-Authentifizierung bei FMC oder FTD anmelden kann, wird die ursprüngliche Anmeldeanforderung an Firepower gesendet. Benutzername und Kennwort werden jedoch an LDAP weitergeleitet, um eine Erfolgs-/Ablehnungsantwort zu erhalten. Das bedeutet, dass FMC und FTD Passwortinformationen nicht lokal in der Datenbank speichern und stattdessen auf die Bestätigung des LDAP warten, wie es weitergeht.

    Anforderungsablauf für Anmeldung

    Anmeldung an der FMC-GUI

    Eintrag für erfolgreiche Benutzeranmeldung in Web-GUI nach LDAP-Authentifizierung in Cisco FMC und FTD

    Wenn der Benutzername und das Passwort akzeptiert werden, wird ein Eintrag in der Web-GUI hinzugefügt, wie im Bild zu sehen:

    Benutzer zur GUI hinzugefügt

    Führen Sie den Befehl show user in FMC CLISH aus, um die Benutzerinformationen zu überprüfen: > show user <username>

    Der Befehl zeigt detaillierte Konfigurationsinformationen für die angegebenen Benutzer an. Diese Werte werden angezeigt:

    Anmelden — der Anmeldename

    UID - die numerische Benutzer-ID
    Auth (Lokal oder Remote) - wie der Benutzer authentifiziert wird
    Zugriff (Basic oder Config) - die Berechtigungsebene des Benutzers
    Aktiviert (Aktiviert oder Deaktiviert) - ob der Benutzer aktiv ist
    Zurücksetzen (Ja oder Nein) - ob der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss
    Exp (Niemals oder eine Zahl) — die Anzahl der Tage, bis das Passwort des Benutzers geändert werden muss
    Warnen (k. A. oder Zahl): Die Anzahl der Tage, die ein Benutzer erhält, um sein Kennwort vor Ablauf zu ändern
    Str (Ja oder Nein) - ob das Passwort des Benutzers die Kriterien zur Überprüfung der Stärke erfüllen muss
    Sperren (Ja oder Nein) - ob das Benutzerkonto aufgrund zu vieler Anmeldefehler gesperrt wurde
    Max. (k. A. oder Zahl): Die maximale Anzahl fehlgeschlagener Anmeldungen, bevor das Konto des Benutzers gesperrt wird.

    SSL oder TLS funktionieren nicht wie erwartet

    Wenn Sie DNS auf den FTDs nicht aktivieren, sehen Sie Fehler im Pigtail-Protokoll, die darauf hindeuten, dass LDAP nicht erreichbar ist:

    root@SEC-FMC:/$ sudo cd /var/common
    root@SEC-FMC:/var/common$ sudo pigtail
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
    MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
    MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

    Stellen Sie sicher, dass Firepower den vollqualifizierten Domänennamen (FQDN) des LDAP-Servers auflösen kann. Wenn nicht, fügen Sie den richtigen DNS wie im Bild zu sehen.

    FTD: Rufen Sie die FTD-CLISH auf, und führen Sie den folgenden Befehl aus: > configure network dns servers <IP Address>.

    Resolve FQDN

    FMC: Wählen Sie System > Configuration und anschließend Management Interfaces (Verwaltungsschnittstellen) wie im Bild dargestellt:

    Konfiguration der Zugriffsverwaltungsschnittstellen in Cisco FMC

    Stellen Sie sicher, dass es sich bei dem auf FMC hochgeladenen Zertifikat um das Zertifikat der Zertifizierungsstelle handelt, die das Serverzertifikat des LDAP signiert hat, wie im Bild gezeigt:

    Zertifizierungsstellenzertifikat für LDAP-Server im Cisco FMC überprüfen

    Verwenden Sie die Paketerfassung, um zu bestätigen, dass der LDAP-Server die richtigen Informationen sendet:

    SSL-Paketerfassung

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    15-Jul-2024
    Aktualisierter Titel, Einführung, Alternativer Text und Formatierung.
    1.0
    20-May-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Luis Jose Esquivel Blanco
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.