Konfigurationsbeispiel für Active Directory-
Integration in Firewalls der nächsten Generation (CX)
Inhalt
Einführung
Voraussetzungen Anforderungen
Verwendete Komponenten Konfigurieren
Bereichskonfiguration Beispiel
Die Verzeichniskonfiguration Beispiel
Bestimmen der Benutzersuchbasis
Bestimmen der Basis für die Gruppensuche
Bestimmen Sie den Distinguished Name anderer Objekte in Active Directory - ADSI Edit.
Überprüfen
Überprüfen der Netzwerkverbindung zum Active Directory-Server Überprüfen der Benutzer- und Gruppensuche mit dem Active Directory Fehlerbehebung
Probleme bei der DNS-Konfiguration führen dazu, dass die Active Directory-Integration fehlschlägt Netzwerkverbindungsprobleme zwischen der Firewall der nächsten Generation und dem Active Directory-Server
Zugehörige Informationen
Einführung
In diesem Dokument wird beschrieben, wie Sie beim Konfigurieren der Firewall der nächsten Generation (CX oder Context Firewall) mit Prime Security Manager (PRSM) für
Identitätsfunktionen die entsprechenden LDAP-Benutzer- und Gruppen-Suchinformationen
festlegen. Wenn Sie Identitätsrichtlinien innerhalb von PRSM konfigurieren und die Informationen zur Durchsuchungsbasis für Verzeichnisbenutzer und -gruppen nicht korrekt eingegeben werden, kann das Gerät Benutzer- und Gruppeninformationen nicht korrekt nachschlagen, und einige Richtlinien können möglicherweise nicht korrekt angewendet werden. Dieses Dokument führt den Benutzer durch die Bestimmung der richtigen Benutzer- und Gruppen-Suchinformationen für eine Active Directory-Richtlinie und zeigt, wie überprüft werden kann, ob das CX Benutzer- und
Gruppensuchen erfolgreich durchführen kann.
Voraussetzungen
Anforderungen
Für dieses Dokument bestehen keine speziellen Anforderungen.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Next-Generation Firewall mit integriertem PRSM-Management, Version 9.2.1.2(52).
Hinweis: In diesem Dokument wird davon ausgegangen, dass die Authentifizierung sowie Benutzer- und Gruppenrichtlinien mithilfe eines Microsoft Active Directory Domain Controller durchgeführt werden.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten
Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Konfigurieren
In diesem Dokument werden zwei Arten von Konfigurationen beschrieben: die Bereichskonfiguration und die Verzeichniskonfiguration.
Bereichskonfiguration
Der Bereich ist ein Container, in dem Authentifizierungsserver platziert werden. Weitere Informationen zu Verzeichnisbereichen finden Sie im Abschnitt Übersicht über
Verzeichnisbereiche im Benutzerhandbuch für ASA CX und Cisco Prime Security Manager 9.2.
Beispiel
Wählen Sie in PRSM Version 9.2 Konfigurationen > Verzeichnisbereich aus.
Hinweis: Die primäre Domäne sollte aufgrund der Cisco Bug-ID CSCum53396 in
Kleinbuchstaben angegeben werden - ASA CX behandelt Groß- und Kleinschreibung für Domänennamen nicht richtig.
Die Verzeichniskonfiguration
Innerhalb des konfigurierten Bereichs muss ein Verzeichnis erstellt werden, das den LDAP-Server (den Active Directory-Server) darstellt.
Die "Benutzersuchbasis" und die "Gruppendurchsuchbasis" müssen auf der Grundlage der
spezifischen Active Directory-Struktur richtig konfiguriert werden. Andernfalls können die benutzer- und gruppenbasierten Richtlinien fehlschlagen. Anhand der Informationen in diesem Abschnitt können Sie die entsprechenden Werte für diese Felder in Ihrer Umgebung ermitteln.
Beispiel
Bestimmen der Benutzersuchbasis
Gehen Sie wie folgt vor, um die Benutzersuchbasis zu ermitteln:
Melden Sie sich als Domänenadministrator beim Active Directory-Server an.
1.
Öffnen Sie eine Eingabeaufforderung (wählen Sie Start > Ausführen und geben Sie cmd ein).
2.
Geben Sie den Befehl dsquery ein, um den Basis-Anzeigenamen (DN) für einen bekannten Benutzer zu bestimmen. Geben Sie einige dieser Informationen im Konfigurationsbildschirm des Verzeichnisses in Prime Security Manager ein.
3.
In diesem Beispiel wird der Befehl dsquery eingegeben, um nach Benutzern zu suchen, die eine DN haben, die mit 'Jay' beginnt. Die Verwendung des Platzhalters '*' mit dem Befehl gibt die Informationen für alle Benutzer mit einer DN zurück, die mit 'Jay' beginnt:
Diese Ausgabe kann verwendet werden, um die LDAP-Struktur für die Benutzersuchbasis in Prime Security Manager zu bestimmen.
In diesem Beispiel wird 'DC=csc-lab,DC=ciscotac,DC=com' als geeignete Benutzersuchbasis für die Verzeichniskonfiguration in PRSM verwendet.
Bestimmen der Basis für die Gruppensuche
Die Vorgehensweise zum Bestimmen der Gruppen-Suchbasis ähnelt der Vorgehensweise zum Bestimmen der Benutzersuchbasis.
Melden Sie sich als Domänenadministrator beim Active Directory-Server an.
1.
Öffnen Sie eine Eingabeaufforderung (wählen Sie Start > Ausführen und geben Sie cmd ein).
2.
Um die Basis-DN für eine bekannte Gruppe zu bestimmen, geben Sie den Befehl dsquery ein. Geben Sie diese Informationen im Konfigurationsbildschirm des Verzeichnisses ein.
3.
In diesem Beispiel heißt die aktuelle Gruppe 'Employees'. Daher können Sie den Befehl dsquery verwenden, um den DN für diese bestimmte Gruppe zu bestimmen:
Diese Ausgabe wird verwendet, um die LDAP-Struktur für die Gruppe-Suchbasis zu bestimmen.
In diesem Fall ist die Information 'DC=csc-lab,DC=ciscotac,DC=com' eine geeignete Benutzersuchbasis für die Verzeichniskonfiguration.
Dieses Bild zeigt, wie die Ausgabe der Befehle zur Datensammlung den Basisinformationen für Verzeichnisbenutzer und Gruppen zugeordnet werden kann:
Bestimmen Sie den Distinguished Name anderer Objekte in Active Directory - ADSI Edit.
Wenn Sie Ihre Active Directory-Struktur durchsuchen müssen, um DNs für Ihre Benutzer- oder Gruppen-Suchbasis zu suchen, können Sie ein Tool namens ADSI Edit verwenden, das in die Active Directory-Domänencontroller integriert ist. Um ADSI Edit zu öffnen, wählen Sie Start >
Ausführen auf Ihrem Active Directory Domain Controller und geben adsiedit.msc ein.
Klicken Sie im ADSI Edit-Fenster mit der rechten Maustaste auf ein Objekt (z. B. eine
Organisationseinheit (OU), eine Gruppe oder einen Benutzer), und wählen Sie Eigenschaften aus, um den DN des Objekts anzuzeigen. Sie können die Zeichenfolge anschließend einfach kopieren und in die CX-Konfiguration in PRSM einfügen, um typografische Fehler zu vermeiden. Weitere Einzelheiten zu diesem Prozess finden Sie in diesem Screenshot:
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Netzwerkverbindung zum Active Directory-Server
Um die grundlegende Netzwerkverbindung zwischen der Firewall der nächsten Generation und dem Active Directory-Server zu überprüfen, klicken Sie auf Verbindung testen.
Hinweis: Die Testverbindung überprüft lediglich, ob die Firewall der nächsten Generation die IP-Adresse für den konfigurierten Verzeichnishostnamen suchen und eine TCP-Verbindung mit dieser IP-Adresse am Ziel-TCP-Port 389 herstellen kann. Sie bestätigt nicht, dass die Firewall der nächsten Generation in der Lage ist, den Active Directory-Server abzufragen und tatsächliche Benutzer- und Gruppenabfragen durchzuführen.
Überprüfen der Benutzer- und Gruppensuche mit dem Active Directory
Um zu überprüfen, ob die Identitätsdaten korrekt sind, führen Sie einen einfachen Test durch, um die Firewall der nächsten Generation auszulösen und eine LDAP-Suche mit den konfigurierten Benutzer- und Gruppen-Suchbasen durchzuführen.
Stellen Sie vor dem Testen sicher, dass alle Konfigurationsänderungen auf dem Gerät bereitgestellt wurden.
Wählen Sie Konfigurationen > Richtlinien/Einstellungen aus.
1.
Erstellen Sie eine neue Richtlinie (diese Richtlinie wird nicht gespeichert). Wählen Sie in der Dropdownliste Quelle die Option Neues Objekt erstellen.
2.
Geben Sie im Feld Name einen Objektnamen ein. Wählen Sie in der Dropdownliste Objekttyp die Option CX Identity-Objekt aus.
3.
Geben Sie im Feld Groups (Gruppen) einige Zeichen ein, die in einer bekannten Active Directory-Gruppe enthalten sind. Wenn die Firewall der nächsten Generation eine Dropdown-Liste mit Active Directory-Gruppen bereitstellt, die mit den auf dem Server konfigurierten Gruppen übereinstimmen, bedeutet dies, dass die Firewall der nächsten Generation den LDAP-Server abfragen konnte und die Gruppe in der LDAP-Struktur gefunden hat, sodass die Konfiguration funktioniert.
Dieses Bild zeigt, dass wenn Sie die Buchstaben Emp im Feld Groups eingeben, der Wert 'CiscoTAC\Employees' eine Gruppe aus der Active Directory-Struktur ist, die übereinstimmt.
Dies bedeutet, dass die Verbindungs- und Suchinformationen funktionieren.
4.
Derselbe Test kann für Benutzer ausgeführt werden. Geben Sie einige Zeichen des Anzeigenamens eines bekannten Active Directory-Benutzers ein, und warten Sie, bis der vollständige Anzeigename für die Firewall der nächsten Generation angezeigt wird. Ist dies der Fall, ist das System höchstwahrscheinlich funktionsfähig.
Wenn der Test abgeschlossen ist, brechen Sie den Bildschirm zur Objekt- und Richtlinienkonfiguration ab.
5.
Fehlerbehebung
Probleme bei der DNS-Konfiguration führen dazu, dass die Active Directory- Integration fehlschlägt
Wenn die DNS-Auflösung (Domain Name System) für den konfigurierten Namen der Domäne fehlschlägt, schlägt die Active Directory-Integration fehl. Die Meldung "Verbindung fehlgeschlagen mit Fehler: Die Meldung DNS_ERROR_BAD_PACKET wird angezeigt, wenn Sie auf Verbindung testen klicken:
Wenn die Firewall der nächsten Generation die IP-Adresse für die konfigurierte Domäne nicht auflösen kann, überprüfen Sie die DNS-Einstellungen auf der Firewall der nächsten Generation mit den Befehlen show dns und nslookup, um sicherzustellen, dass der Hostname vom Gerät aufgelöst werden kann und die DNS-Einstellungen korrekt sind.
Netzwerkverbindungsprobleme zwischen der Firewall der nächsten Generation und dem Active Directory-Server
Wenn die Firewall der nächsten Generation keine Verbindung zum Active Directory-Server herstellen kann (aufgrund eines Netzwerkproblems oder einer Firewall-Einstellung auf dem Computer), schlägt die Integration fehl. Dies kann verursacht werden, wenn die Verbindung am TCP-Port 389 von einem Gerät (z. B. einer Firewall oder einem Router) zwischen der Firewall der nächsten Generation und dem Active Directory-Server blockiert wird.
Die Meldung "Verbindung fehlgeschlagen mit Fehler: Join return NERR_DCNotFound' (NERR_DCNotFound beitreten) wird angezeigt, wenn Sie auf Verbindung testen klicken:
Wenn Sie diese Meldung sehen:
Vergewissern Sie sich, dass die Firewall der nächsten Generation über eine grundlegende IP- Verbindung zum Server verfügt, wobei die Befehle ping, nslookup und traceroute über die CLI bereitgestellt werden.
●
Überprüfen Sie, ob die auf dem Active Directory-Server konfigurierte Firewall so konfiguriert ist, dass die Verbindung von der Firewall der nächsten Generation am TCP-Port 389 blockiert wird.
●
Nehmen Sie Paketerfassungen auf dem Active Directory-Server und dem Netzwerk, um festzustellen, welches Gerät den Zugriff blockieren könnte.
●
Zugehörige Informationen
Cisco Bug ID CSCum53396 - ASA CX behandelt Groß- und Kleinschreibung für Domänennamen nicht richtig
●
Technischer Support und Dokumentation - Cisco Systems
●