проблема интеграции Cisco WSA LDAPS
-
Здравствуйте, эта проблема была связана с этой ошибкой:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwj13235 Решением проблемы было создание статического маршрута в Management для доступа к AD и указание на шлюз данных. В конце концов, мне удалось интегрировать WSA с серверами LDAP. -
Здравствуйте, ezzaariyouness, Я вижу, что вы выбрали LDAPS, и, похоже, соединение не удается из-за TLS-рукопожатия. (Сертификат «Недействительный/Истекший») Возможно, вам необходимо проверить связь между вашими LDAP-серверами и WSA и убедиться, что все сертификаты действительны для LDAPS. Надеюсь, это поможет. С уважением, Константинос
-
Спасибо за ответ. Как я могу проверить сертификат для LDAPS? У меня есть корневой сертификат от Ca, импортированный в WSA. Нужно ли мне выполнять какие-либо настройки, связанные с сертификатом?
-
Нет, вам не нужно выполнять никаких настроек на контроллере домена, кроме получения сертификата. Сначала проверьте контроллер домена. Войдите в систему, запустите/запустите, введите certlm.msc. В разделе «Личные/Сертификаты» вы должны увидеть сертификат. Обычно (при условии, что вы используете ADCS) он выдается на имя компьютера контроллера домена, и как только службы AD обнаруживают сертификат с правильным использованием, они его принимают и начинают обслуживать LDAPS.
-
Системный администратор сказал мне, что сертификат уже находится на сервере LDAP.
-
Вы можете проверить сертификат с помощью openssl. Это должно показать сертификаты и корневой каталог, который он использует: openssl.exe s_client -showcerts -connect :636
Есть также эта статья от Cisco:
https://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118761-technote-firesight-00.html
Вы должны получить соединение, если это не произошло, системный администратор должен выполнить некоторые действия.
Это электронное письмо предназначено исключительно для использования лицом, которому оно адресовано, и может содержать информацию, которая является привилегированной, конфиденциальной или иным образом освобожденной от раскрытия в соответствии с применимым законодательством. Если читатель этого электронного письма не является предполагаемым получателем или сотрудником или агентом, ответственным за доставку сообщения предполагаемому получателю, вы настоящим уведомляетесь, что любое распространение, распространение или копирование этого сообщения строго запрещено.
Если вы получили это сообщение по ошибке, пожалуйста, немедленно сообщите нам об этом по телефону и верните оригинальное сообщение по указанному адресу электронной почты.
Спасибо. -
Я пробую эту команду openssl
s_client -showcerts -connect
:636 на wsa, и вот результат Я также приложил пакет захвата для связи между WSA и LDAP. -
В вашей команде отсутствует dest, попробуйте: openssl s_client -showcerts -connect 10.147.32.52:636
-
да, я устал и получил это
-
Это означает, что произошел таймаут соединения, сеанс TCP не может быть установлен. Сначала проверьте маршрутизацию (а также, используете ли вы правильный интерфейс WSA (Mgmt/Data)), а затем брандмауэр — если вы видите какие-либо блокировки/отбрасывания и что-либо в журнале.
-
Я могу выполнить ping LDAP-сервера, и в пути нет FW, WSA и LDAP находятся в одной подсети. Прилагаю файл с записью этой коммуникации.
-
Команда openssl показывает таймаут, а tcpdump показывает, что соединение установлено. У вас есть несколько интерфейсов? Вы
загрузили сертификат CA машины LDAP на WSA? -
Да, у меня есть
несколько интерфейсов, как показано ниже: Как видите, я могу выполнить ping LDAP-сервера. -
но хост LDAP 10.147.32.52 не находится в сети 10.147.32.5/27 (10.147.32.1-10.147.32.30) попробуйте другие интерфейсы или зафиксируйте трафик во время выполнения команды openssl и/или теста пользовательского интерфейса, а затем проверьте с помощью Wireshark
-
Вы также можете просто загрузить openssl для любой операционной системы, которую вы используете, и проверить свой DC оттуда. Здесь вы можете найти последние версии:
https://wiki.openssl.org/index.php/Binaries
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти