يمكنك تكوين مركز إدارة FireSIGHT للسماح لمستخدمي Active Directory LDAP الخارجيين بمصادقة الوصول إلى واجهة مستخدم الويب و CLI. تناقش هذه المقالة كيفية تكوين كائن المصادقة لمصادقة Microsoft AD عبر SSL/TLS واختباره واستكشاف أخطائه وإصلاحها.
توصي Cisco بأن تكون لديك معرفة بنظام إدارة المستخدم والمصادقة الخارجية على مركز إدارة FireSIGHT.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الخطوة 1. قم بتكوين كائن المصادقة دون تشفير SSL/TLS.
الخطوة 2. اختبر كائن المصادقة عبر SSL و TLS بدون شهادة CA.
اختبر كائن المصادقة عبر SSL و TLS بدون شهادة CA. إذا واجهت مشكلة، فيرجى إستشارة مسؤول النظام لحل هذه المشكلة على خادم AD LDS. إذا تم تحميل شهادة مسبقا إلى كائن المصادقة، يرجى تحديد تم تحميل الشهادة (حدد لمسح الشهادة المحملة) لمسح الشهادة واختبار AO مرة أخرى.
إذا فشل كائن المصادقة، فيرجى إستشارة مسؤول النظام للتحقق من تكوين AD LDS SSL/TLS قبل الانتقال إلى الخطوة التالية. ومع ذلك، يرجى الاستمتاع بمواصلة الخطوات التالية لاختبار كائن المصادقة بشكل أكبر باستخدام شهادة المرجع المصدق.
الخطوة 3. تنزيل شهادة Base64 CA.
الخطوة 4. تحقق من قيمة الموضوع في الوحدة.
الخطوة 5. قم باختبار شهادة على جهاز يعمل بنظام التشغيل Microsoft Windows. يمكنك إجراء هذا الاختبار على "مجموعة عمل" أو "مجال" متصل بجهاز Windows.
cd c:\Certificate
certutil -v -urlfetch -verify certnew.cer >cacert.test.txt
إذا كان جهاز Windows منضما بالفعل إلى المجال، يجب أن تكون شهادة المرجع المصدق في مخزن الشهادات ويجب ألا يكون هناك خطأ في cacert.test.txt. ومع ذلك، إذا كان جهاز Windows على مجموعة عمل، فقد ترى إحدى الرسالتين وفقا لوجود شهادة CA في قائمة المرجع المصدق الموثوق به.
أ. تم الوثوق ب CA ولكن لم يتم العثور على CRL ل CA:
ERROR: Verifying leaf certificate revocation status returned The revocation function
was unable to check revocation because the revocation server was offline. 0x80092013
(-2146885613)
CertUtil: The revocation function was unable to check revocation because the
revocation server was offline.
ب. المرجع المصدق غير موثوق به:
Verifies against UNTRUSTED root
Cert is a CA certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.
إذا ظهرت لك أي رسائل خطأ أخرى مثل أدناه، فيرجى إستشارة مسؤول النظام لحل المشكلة الموجودة على AD LDS و CA الوسيط. رسائل الخطأ هذه هي دلالة على شهادة غير صحيحة، موضوع في شهادة CA، سلسلة شهادات مفقودة، إلخ.
Failed "AIA" Time: 0
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or d evice is no longer available
الخطوة 6. بمجرد التأكد من صحة شهادة CA واجتياز الاختبار في الخطوة 5، قم بتحميل شهادة المنتج إلى كائن المصادقة ثم قم بتشغيل الاختبار.
الخطوة 7. قم بحفظ كائن المصادقة وإعادة تطبيق نهج النظام.