• Keine Ergebnisse gefunden

Konfigurationsbeispiel für Active Directory- Integration in Firewalls der nächsten Generation (CX)

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Konfigurationsbeispiel für Active Directory- Integration in Firewalls der nächsten Generation (CX)"

Copied!
11
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 11 Seite )

Volltext

(1)

Konfigurationsbeispiel für Active Directory-

Integration in Firewalls der nächsten Generation (CX)

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten Konfigurieren

Bereichskonfiguration Beispiel

Die Verzeichniskonfiguration Beispiel

Bestimmen der Benutzersuchbasis

Bestimmen der Basis für die Gruppensuche

Bestimmen Sie den Distinguished Name anderer Objekte in Active Directory - ADSI Edit.

Überprüfen

Überprüfen der Netzwerkverbindung zum Active Directory-Server Überprüfen der Benutzer- und Gruppensuche mit dem Active Directory Fehlerbehebung

Probleme bei der DNS-Konfiguration führen dazu, dass die Active Directory-Integration fehlschlägt Netzwerkverbindungsprobleme zwischen der Firewall der nächsten Generation und dem Active Directory-Server

Zugehörige Informationen

Einführung

In diesem Dokument wird beschrieben, wie Sie beim Konfigurieren der Firewall der nächsten Generation (CX oder Context Firewall) mit Prime Security Manager (PRSM) für

Identitätsfunktionen die entsprechenden LDAP-Benutzer- und Gruppen-Suchinformationen

festlegen. Wenn Sie Identitätsrichtlinien innerhalb von PRSM konfigurieren und die Informationen zur Durchsuchungsbasis für Verzeichnisbenutzer und -gruppen nicht korrekt eingegeben werden, kann das Gerät Benutzer- und Gruppeninformationen nicht korrekt nachschlagen, und einige Richtlinien können möglicherweise nicht korrekt angewendet werden. Dieses Dokument führt den Benutzer durch die Bestimmung der richtigen Benutzer- und Gruppen-Suchinformationen für eine Active Directory-Richtlinie und zeigt, wie überprüft werden kann, ob das CX Benutzer- und

Gruppensuchen erfolgreich durchführen kann.

(2)

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Next-Generation Firewall mit integriertem PRSM-Management, Version 9.2.1.2(52).

Hinweis: In diesem Dokument wird davon ausgegangen, dass die Authentifizierung sowie Benutzer- und Gruppenrichtlinien mithilfe eines Microsoft Active Directory Domain Controller durchgeführt werden.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten

Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konfigurieren

In diesem Dokument werden zwei Arten von Konfigurationen beschrieben: die Bereichskonfiguration und die Verzeichniskonfiguration.

Bereichskonfiguration

Der Bereich ist ein Container, in dem Authentifizierungsserver platziert werden. Weitere Informationen zu Verzeichnisbereichen finden Sie im Abschnitt Übersicht über

Verzeichnisbereiche im Benutzerhandbuch für ASA CX und Cisco Prime Security Manager 9.2.

Beispiel

Wählen Sie in PRSM Version 9.2 Konfigurationen > Verzeichnisbereich aus.

(3)

Hinweis: Die primäre Domäne sollte aufgrund der Cisco Bug-ID CSCum53396 in

Kleinbuchstaben angegeben werden - ASA CX behandelt Groß- und Kleinschreibung für Domänennamen nicht richtig.

Die Verzeichniskonfiguration

Innerhalb des konfigurierten Bereichs muss ein Verzeichnis erstellt werden, das den LDAP-Server (den Active Directory-Server) darstellt.

Die "Benutzersuchbasis" und die "Gruppendurchsuchbasis" müssen auf der Grundlage der

spezifischen Active Directory-Struktur richtig konfiguriert werden. Andernfalls können die benutzer- und gruppenbasierten Richtlinien fehlschlagen. Anhand der Informationen in diesem Abschnitt können Sie die entsprechenden Werte für diese Felder in Ihrer Umgebung ermitteln.

Beispiel

Bestimmen der Benutzersuchbasis

(4)

Gehen Sie wie folgt vor, um die Benutzersuchbasis zu ermitteln:

Melden Sie sich als Domänenadministrator beim Active Directory-Server an.

1.

Öffnen Sie eine Eingabeaufforderung (wählen Sie Start > Ausführen und geben Sie cmd ein).

2.

Geben Sie den Befehl dsquery ein, um den Basis-Anzeigenamen (DN) für einen bekannten Benutzer zu bestimmen. Geben Sie einige dieser Informationen im Konfigurationsbildschirm des Verzeichnisses in Prime Security Manager ein.

3.

In diesem Beispiel wird der Befehl dsquery eingegeben, um nach Benutzern zu suchen, die eine DN haben, die mit 'Jay' beginnt. Die Verwendung des Platzhalters '*' mit dem Befehl gibt die Informationen für alle Benutzer mit einer DN zurück, die mit 'Jay' beginnt:

Diese Ausgabe kann verwendet werden, um die LDAP-Struktur für die Benutzersuchbasis in Prime Security Manager zu bestimmen.

In diesem Beispiel wird 'DC=csc-lab,DC=ciscotac,DC=com' als geeignete Benutzersuchbasis für die Verzeichniskonfiguration in PRSM verwendet.

Bestimmen der Basis für die Gruppensuche

Die Vorgehensweise zum Bestimmen der Gruppen-Suchbasis ähnelt der Vorgehensweise zum Bestimmen der Benutzersuchbasis.

Melden Sie sich als Domänenadministrator beim Active Directory-Server an.

1.

Öffnen Sie eine Eingabeaufforderung (wählen Sie Start > Ausführen und geben Sie cmd ein).

2.

Um die Basis-DN für eine bekannte Gruppe zu bestimmen, geben Sie den Befehl dsquery ein. Geben Sie diese Informationen im Konfigurationsbildschirm des Verzeichnisses ein.

3.

In diesem Beispiel heißt die aktuelle Gruppe 'Employees'. Daher können Sie den Befehl dsquery verwenden, um den DN für diese bestimmte Gruppe zu bestimmen:

Diese Ausgabe wird verwendet, um die LDAP-Struktur für die Gruppe-Suchbasis zu bestimmen.

In diesem Fall ist die Information 'DC=csc-lab,DC=ciscotac,DC=com' eine geeignete Benutzersuchbasis für die Verzeichniskonfiguration.

Dieses Bild zeigt, wie die Ausgabe der Befehle zur Datensammlung den Basisinformationen für Verzeichnisbenutzer und Gruppen zugeordnet werden kann:

(5)

Bestimmen Sie den Distinguished Name anderer Objekte in Active Directory - ADSI Edit.

Wenn Sie Ihre Active Directory-Struktur durchsuchen müssen, um DNs für Ihre Benutzer- oder Gruppen-Suchbasis zu suchen, können Sie ein Tool namens ADSI Edit verwenden, das in die Active Directory-Domänencontroller integriert ist. Um ADSI Edit zu öffnen, wählen Sie Start >

Ausführen auf Ihrem Active Directory Domain Controller und geben adsiedit.msc ein.

Klicken Sie im ADSI Edit-Fenster mit der rechten Maustaste auf ein Objekt (z. B. eine

Organisationseinheit (OU), eine Gruppe oder einen Benutzer), und wählen Sie Eigenschaften aus, um den DN des Objekts anzuzeigen. Sie können die Zeichenfolge anschließend einfach kopieren und in die CX-Konfiguration in PRSM einfügen, um typografische Fehler zu vermeiden. Weitere Einzelheiten zu diesem Prozess finden Sie in diesem Screenshot:

(6)

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Netzwerkverbindung zum Active Directory-Server

Um die grundlegende Netzwerkverbindung zwischen der Firewall der nächsten Generation und dem Active Directory-Server zu überprüfen, klicken Sie auf Verbindung testen.

Hinweis: Die Testverbindung überprüft lediglich, ob die Firewall der nächsten Generation die IP-Adresse für den konfigurierten Verzeichnishostnamen suchen und eine TCP-Verbindung mit dieser IP-Adresse am Ziel-TCP-Port 389 herstellen kann. Sie bestätigt nicht, dass die Firewall der nächsten Generation in der Lage ist, den Active Directory-Server abzufragen und tatsächliche Benutzer- und Gruppenabfragen durchzuführen.

Überprüfen der Benutzer- und Gruppensuche mit dem Active Directory

Um zu überprüfen, ob die Identitätsdaten korrekt sind, führen Sie einen einfachen Test durch, um die Firewall der nächsten Generation auszulösen und eine LDAP-Suche mit den konfigurierten Benutzer- und Gruppen-Suchbasen durchzuführen.

Stellen Sie vor dem Testen sicher, dass alle Konfigurationsänderungen auf dem Gerät bereitgestellt wurden.

Wählen Sie Konfigurationen > Richtlinien/Einstellungen aus.

1.

Erstellen Sie eine neue Richtlinie (diese Richtlinie wird nicht gespeichert). Wählen Sie in der Dropdownliste Quelle die Option Neues Objekt erstellen.

2.

(7)

Geben Sie im Feld Name einen Objektnamen ein. Wählen Sie in der Dropdownliste Objekttyp die Option CX Identity-Objekt aus.

3.

Geben Sie im Feld Groups (Gruppen) einige Zeichen ein, die in einer bekannten Active Directory-Gruppe enthalten sind. Wenn die Firewall der nächsten Generation eine Dropdown-Liste mit Active Directory-Gruppen bereitstellt, die mit den auf dem Server konfigurierten Gruppen übereinstimmen, bedeutet dies, dass die Firewall der nächsten Generation den LDAP-Server abfragen konnte und die Gruppe in der LDAP-Struktur gefunden hat, sodass die Konfiguration funktioniert.

Dieses Bild zeigt, dass wenn Sie die Buchstaben Emp im Feld Groups eingeben, der Wert 'CiscoTAC\Employees' eine Gruppe aus der Active Directory-Struktur ist, die übereinstimmt.

Dies bedeutet, dass die Verbindungs- und Suchinformationen funktionieren.

4.

(8)

Derselbe Test kann für Benutzer ausgeführt werden. Geben Sie einige Zeichen des Anzeigenamens eines bekannten Active Directory-Benutzers ein, und warten Sie, bis der vollständige Anzeigename für die Firewall der nächsten Generation angezeigt wird. Ist dies der Fall, ist das System höchstwahrscheinlich funktionsfähig.

(9)

Wenn der Test abgeschlossen ist, brechen Sie den Bildschirm zur Objekt- und Richtlinienkonfiguration ab.

5.

Fehlerbehebung

Probleme bei der DNS-Konfiguration führen dazu, dass die Active Directory- Integration fehlschlägt

Wenn die DNS-Auflösung (Domain Name System) für den konfigurierten Namen der Domäne fehlschlägt, schlägt die Active Directory-Integration fehl. Die Meldung "Verbindung fehlgeschlagen mit Fehler: Die Meldung DNS_ERROR_BAD_PACKET wird angezeigt, wenn Sie auf Verbindung testen klicken:

(10)

Wenn die Firewall der nächsten Generation die IP-Adresse für die konfigurierte Domäne nicht auflösen kann, überprüfen Sie die DNS-Einstellungen auf der Firewall der nächsten Generation mit den Befehlen show dns und nslookup, um sicherzustellen, dass der Hostname vom Gerät aufgelöst werden kann und die DNS-Einstellungen korrekt sind.

Netzwerkverbindungsprobleme zwischen der Firewall der nächsten Generation und dem Active Directory-Server

Wenn die Firewall der nächsten Generation keine Verbindung zum Active Directory-Server herstellen kann (aufgrund eines Netzwerkproblems oder einer Firewall-Einstellung auf dem Computer), schlägt die Integration fehl. Dies kann verursacht werden, wenn die Verbindung am TCP-Port 389 von einem Gerät (z. B. einer Firewall oder einem Router) zwischen der Firewall der nächsten Generation und dem Active Directory-Server blockiert wird.

Die Meldung "Verbindung fehlgeschlagen mit Fehler: Join return NERR_DCNotFound' (NERR_DCNotFound beitreten) wird angezeigt, wenn Sie auf Verbindung testen klicken:

Wenn Sie diese Meldung sehen:

Vergewissern Sie sich, dass die Firewall der nächsten Generation über eine grundlegende IP- Verbindung zum Server verfügt, wobei die Befehle ping, nslookup und traceroute über die CLI bereitgestellt werden.

(11)

Überprüfen Sie, ob die auf dem Active Directory-Server konfigurierte Firewall so konfiguriert ist, dass die Verbindung von der Firewall der nächsten Generation am TCP-Port 389 blockiert wird.

Nehmen Sie Paketerfassungen auf dem Active Directory-Server und dem Netzwerk, um festzustellen, welches Gerät den Zugriff blockieren könnte.

Zugehörige Informationen

Cisco Bug ID CSCum53396 - ASA CX behandelt Groß- und Kleinschreibung für Domänennamen nicht richtig

Technischer Support und Dokumentation - Cisco Systems

Referenzen

Jetzt herunterladen ( PDF - 11 Seite - 475.31 KB )

ÄHNLICHE DOKUMENTE

LED der nächsten Generation

Die Beleuchtungsstärke auf einer beleuchteten Fläche gibt an, welcher Lichtstrom (gemessen in Lumen, lm) auf eine Flächeneinheit (gemessen in Quadratmetern)

Konfigurationsbeispiel für SMTP- und ESMTP- Verbindungen mit Cisco IOS-Firewall

ip inspect name IN-OUT tcp ip inspect name IN-OUT udp ip inspect name IN-OUT ftp ip inspect name IN-OUT http ip inspect name IN-OUT icmp !--- OUT-IN is the inspection rule for

Intrusion Prevention mit Forcepoint Next-Generation Firewall

Zero-Day-Sandboxing Forcepoint Advanced Malware Detection ist für Forcepoint NGFW sowohl als Cloud-Service als auch als lokaler Service verfügbar, wie er auch von Forcepoint

IP-Netze der nächsten Generation Zu einem mobilen und sicheren Internet

BGCF (Breakout Gateway Control Function) kommt zum Zu- ge, wenn eine Verbindung zu einem leitungsvermittelten Netz oder dem ISDN hergestellt werden muss.. IBCF (Interconnection

Schwierige Wahl. Wie Administratoren ein Active Directory. Sandro Affentranger. Passwortsicherheit (nicht nur) im Active Directory

Selbst mit einer strengen Pass- wortrichtlinie lässt sich kaum verhindern, dass Benutzer Passwörter wählen, die ein Angreifer leicht erraten kann [3].. Sobald dieser

Cenomic Optima. Vollraum- Rührwerksmühle der nächsten Generation.

Insgesamt erzielt die Cenomic Optima mit ihrem Innenmantel aus Keramik bei gleicher Rotorleistung einen um bis zu 40% höheren Durchfluss als die ursprüngliche Cenomic mit

ZEIT FÜR DAS ID-SYSTEM DER NÄCHSTEN GENERATION. intercard.org

Die Aktien der InterCard AG Informationssysteme sind seit dem 15.6.2021 auf dem Handelsplatz XETRA der Deutschen Börse in Frankfurt einbezogen und handelbar. Heimatbörse

Next TV. TV der nächsten Generation

• Meine geplanten Aufnahmen: Zeigt eine Liste aller geplanten Aufnahmen Aufgenommene oder für eine Aufnahme geplante Sendungen erkennen Sie an einer roten Markierung (Punkt