使用LDAP設定FMC和FTD以進行外部驗證

簡介

本檔案介紹如何使用Cisco FMC和FTD啟用Microsoft輕量型目錄存取通訊協定(LDAP)外部驗證。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco Firepower威脅防禦(FTD)
• Cisco Firepower管理中心(FMC)
• Microsoft LDAP

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• FTD 6.5.0-123
• FMC 6.5.0-115
• Microsoft Server 2012

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

FMC和受管裝置包括用於管理訪問的預設管理員帳戶。您可以在FMC和受管裝置上增加自定義使用者帳戶，可以是內部使用者，也可以是LDAP或RADIUS伺服器上的外部使用者（如果您的型號支援）。FMC和FTD支援外部使用者驗證。

· 內部使用者- FMC/FTD裝置會檢查本機資料庫是否有使用者驗證。

· 外部使用者-如果使用者不在本地資料庫中，則來自外部LDAP或RADIUS身份驗證伺服器的系統資訊將填充其使用者資料庫。

網路圖表

設定

FMC GUI中的基本LDAP配置

步驟 1.導覽至：System > Users > External Authentication

步驟 2.選擇:Add External Authentication Object

步驟 3.填寫必填欄位：

步驟 4.啟用物External Authentication件並儲存：

外部使用者的Shell訪問

FMC支援兩個不同的內部管理員使用者：一個用於Web介面，另一個具有CLI訪問許可權。這意味著，誰可以訪問GUI，誰也可以訪問CLI，兩者之間有著明顯的區別。安裝時，預設admin使用者的密碼將在GUI和CLI上同步，以便保持相同。但是，它們會由不同的內部機制進行跟蹤，最終可能會有所不同。

還必須授予LDAP外部使用者外殼訪問許可權。

步驟 1.導覽至System > Users > External Authentication，然後按一下Shell Authentication 下拉式方塊（如圖所示）並儲存：

步驟 2.在FMC中部署更改。

為外部使用者配置外殼訪問後，透過SSH登入將啟用，如圖所示：

FTD的外部驗證

可以在FTD上啟用外部驗證。

步驟 1.導航到Devices > Platform Settings > External Authentication。按一下Enabled和save：

使用者角色

使用者許可權以指派的使用者角色為基礎。您也可以建立自訂使用者角色，並根據貴組織的需求量身訂做存取許可權，或使用預先定義的角色，例如「安全分析員」和「探索管理員」。

使用者角色有兩種型別：

1. Web介面使用者角色
2. CLI使用者角色

有關預定義角色的完整清單以及詳細資訊，請參閱：使用者角色。

要為所有外部身份驗證對象配置預設使用者角色，請導航到System > Users > External Authentication > Default User Role。 選擇要分配的預設使用者角色，然後按一下Save。

若要選擇預設使用者角色，或將特定角色指定給特定物件群組中的特定使用者，您可以選擇物件並導覽至Group Controlled Access Roles，如圖所示：

SSL或TLS

必須在FMC中配置DNS。這是因為證書的Subject值必須與 Authentication Object Primary Server Hostname匹配。配置Secure LDAP後，資料包捕獲不再顯示明文繫結請求。

SSL將預設埠更改為636，TLS將其保留為389。

注意：TLS加密在所有平台上都需要一個證書。若是SSL，FTD也需要憑證。對於其他平台，SSL不需要證書。但是，建議您始終上傳SSL證書，以防止中間人攻擊。

步驟 1.切換作業選項至Devices > Platform Settings > External Authentication > External Authentication Object，然後輸入進階選項SSL/TLS資訊：

步驟 2.上傳簽署伺服器憑證的CA憑證。證書必須是PEM格式。

步驟 3.儲存配置。

驗證

測試搜尋依據

打開配置了LDAP的Windows命令提示符或PowerShell，然後鍵入命令：dsquery user -name <known username>。

舉例來說：

PS C:\Users\Administrator> dsquery user -name harry* 
PS C:\Users\Administrator> dsquery user -name * 

測試LDAP整合

導航到System > Users > External Authentication > External Authentication Object。頁面底部有一個Additional Test Parameters 段落，如圖所示：

選擇測試以檢視結果。

疑難排解

FMC/FTD和LDAP如何進行互動以下載使用者

為使FMC能夠從Microsoft LDAP伺服器中提取使用者，FMC必須首先使用LDAP管理員憑據在埠389或636 (SSL)上傳送繫結請求。一旦LDAP伺服器能夠對FMC進行身份驗證，就會以成功消息作出響應。最後，FMC能夠使用搜尋請求消息發出請求，如圖所示：

<< ---  FMC sends: bindRequest(1) "Administrator@SEC-LAB0" simple LDAP must respond with: bindResponse(1) success --- >> << --- FMC sends: searchRequest(2) "DC=SEC-LAB,DC=NET" wholeSubtree

請注意，預設情況下，身份驗證以明文形式傳送口令：

FMC/FTD和LDAP如何進行互動以驗證使用者登入請求

為了使使用者能夠在啟用LDAP身份驗證時登入到FMC或FTD，初始登入請求將傳送到Firepower，但使用者名稱和密碼將轉發到LDAP以獲得成功/拒絕響應。這表示FMC和FTD不會將密碼資訊儲存在本機資料庫中，而是等待LDAP確認如何繼續。

如果接受使用者名稱和密碼，則會在Web GUI中增加一個條目，如圖所示：


運行show user in FMC CLISH 命令以驗證使用者資訊： > show user <username>

命令顯示指定使用者的詳細配置資訊。畫面上會顯示以下值：

登入—登入名稱

UID —數值使用者ID
Auth (Local or Remote) -使用者身份驗證的方式
存取（基本或組態） —使用者的許可權層級
啟用（啟用或停用） —使用者是否作用中
重設（是或否） —使用者是否必須在下次登入時變更密碼
Exp （Never或數字） —必須變更使用者密碼之前的天數
Warn (N/A or a number) —指定使用者在密碼到期前變更其密碼的天數
Str （Yes或No） —使用者的密碼是否必須符合檢查強度的標準
鎖定（[是]或[否]） —使用者帳號是否因登入失敗次數過多而被鎖定
Max (N/A or a number) —鎖定使用者帳戶之前失敗的登入數目上限

SSL或TLS無法如預期運作

如果沒有在FTD上啟用DNS，可能會在尾隨日誌中看到提示LDAP無法連線的錯誤：

root@SEC-FMC:/$ sudo cd /var/common
root@SEC-FMC:/var/common$ sudo pigtail

MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.0.2.15  user=h.potter
MSGS: 03-05 14:35:31 SEC-FTD sshd[10174]: pam_ldap: ldap_starttls_s: Can't contact LDAP server
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: PAM: Authentication failure for h.potter from 192.0.2.15
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Failed keyboard-interactive/pam for h.potter from 192.0.2.15 port 61491 ssh2
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: error: maximum authentication attempts exceeded for h.potter from 192.0.2.15 port 61491 ssh2 [preauth]
MSGS: 03-05 14:35:33 SEC-FTD sshd[10138]: Disconnecting authenticating user h.potter 192.0.2.15 port 61491: Too many authentication failures [preauth]

確保Firepower能夠解析LDAP伺服器完全限定域名(FQDN)。否則，請增加如圖所示的正確DNS。

FTD：存取FTD CLISH並執行命令： > configure network dns servers <IP Address>.

FMC：選擇System > Configuration，然後選擇Management Interfaces（如圖所示）：

確保上傳到FMC的證書是簽署LDAP伺服器證書的CA的證書，如圖所示：

使用封包擷取來確認LDAP伺服器傳送的資訊正確：

相關資訊

• 管理存取的使用者帳戶
• Cisco Firepower管理中心輕型目錄訪問協定身份驗證繞行漏洞
• 在FireSIGHT系統上配置LDAP身份驗證對象
• 技術支援與文件 - Cisco Systems