Você pode configurar um FireSIGHT Management Center para permitir que usuários externos LDAP do Ative Diretory autentiquem o acesso à interface de usuário da Web e à CLI. Este artigo discute como configurar, testar e solucionar problemas do Authentication Object for Microsoft AD Authentication Over SSL/TLS.
A Cisco recomenda que você tenha conhecimento sobre o gerenciamento de usuários e o sistema de autenticação externa no FireSIGHT Management Center.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Etapa 1. Configure o objeto de autenticação sem criptografia SSL/TLS.
Etapa 2. Teste o objeto de autenticação sobre SSL e TLS sem certificado CA.
Teste o objeto de autenticação sobre SSL e TLS sem certificado CA. Se você encontrar um problema, consulte o administrador do sistema para resolver esse problema no servidor AD LDS. Se um certificado tiver sido carregado anteriormente no objeto de autenticação, selecione "Certificate has been loaded (Select to clear load certificate)" para limpar o certificado e testar o AO novamente.
Se o objeto de autenticação falhar, consulte o administrador do sistema para verificar a configuração SSL/TLS do AD LDS antes de passar para a próxima etapa. No entanto, sinta-se à vontade para continuar com as etapas a seguir para testar o objeto de autenticação com o certificado CA.
Etapa 3. Baixe o certificado Base64 CA.
Etapa 4. Verifique o valor Subject (Assunto) no certificado.
Etapa 5. Teste o certificado em uma máquina do Microsoft Windows. Você pode executar este teste em um grupo de trabalho ou domínio unido a uma máquina do Windows.
cd c:\Certificate
certutil -v -urlfetch -verify certnew.cer >cacert.test.txt
Se a máquina do Windows já estiver ingressada no domínio, o certificado CA deve estar no repositório de certificados e não deve haver nenhum erro em cacert.test.txt. No entanto, se a máquina do Windows estiver em um grupo de trabalho, você poderá ver uma das duas mensagens dependendo da existência de certificado CA na lista de CAs confiáveis.
a. A CA é confiável, mas não foi encontrada nenhuma CRL para a CA:
ERROR: Verifying leaf certificate revocation status returned The revocation function
was unable to check revocation because the revocation server was offline. 0x80092013
(-2146885613)
CertUtil: The revocation function was unable to check revocation because the
revocation server was offline.
b. A AC não é confiável:
Verifies against UNTRUSTED root
Cert is a CA certificate
Cannot check leaf certificate revocation status
CertUtil: -verify command completed successfully.
Se você receber alguma outra mensagem de ERRO como a abaixo, consulte seu administrador do sistema para resolver o problema no AD LDS e CA intermediária. Essas mensagens de erro são um indicativo de certificado incorreto, assunto no certificado CA, cadeia de certificados ausente, etc.
Failed "AIA" Time: 0
Failed "CDP" Time: 0
Error retrieving URL: The specified network resource or d evice is no longer available
Etapa 6. Depois de confirmar que o certificado CA é válido e passou no teste na Etapa 5, carregue o certificado no objeto de autenticação e execute o teste.
Passo 7. Salve o objeto de autenticação e reaplique a política do sistema.