проблема интеграции Cisco WSA LDAPS

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:49 GMT

Ken Stieers — Fri, 27 Feb 2026 23:40:49 GMT

Вы также можете просто загрузить openssl для любой операционной системы, которую вы используете, и проверить свой DC оттуда. Здесь вы можете найти последние версии:
https://wiki.openssl.org/index.php/Binaries

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:48 GMT

fw_mon — Fri, 27 Feb 2026 23:40:48 GMT

но хост LDAP 10.147.32.52 не находится в сети 10.147.32.5/27 (10.147.32.1-10.147.32.30) попробуйте другие интерфейсы или зафиксируйте трафик во время выполнения команды openssl и/или теста пользовательского интерфейса, а затем проверьте с помощью Wireshark

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:47 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:47 GMT

Да, у меня есть
несколько интерфейсов, как показано ниже: Как видите, я могу выполнить ping LDAP-сервера.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:46 GMT

fw_mon — Fri, 27 Feb 2026 23:40:46 GMT

Команда openssl показывает таймаут, а tcpdump показывает, что соединение установлено. У вас есть несколько интерфейсов? Вы
загрузили сертификат CA машины LDAP на WSA?

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:45 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:45 GMT

Я могу выполнить ping LDAP-сервера, и в пути нет FW, WSA и LDAP находятся в одной подсети. Прилагаю файл с записью этой коммуникации.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:44 GMT

fw_mon — Fri, 27 Feb 2026 23:40:44 GMT

Это означает, что произошел таймаут соединения, сеанс TCP не может быть установлен. Сначала проверьте маршрутизацию (а также, используете ли вы правильный интерфейс WSA (Mgmt/Data)), а затем брандмауэр — если вы видите какие-либо блокировки/отбрасывания и что-либо в журнале.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:43 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:43 GMT

да, я устал и получил это

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:42 GMT

fw_mon — Fri, 27 Feb 2026 23:40:42 GMT

В вашей команде отсутствует dest, попробуйте: openssl s_client -showcerts -connect 10.147.32.52:636

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:41 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:41 GMT

Я пробую эту команду openssl
s_client -showcerts -connect
:636 на wsa, и вот результат Я также приложил пакет захвата для связи между WSA и LDAP.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:40 GMT

Ken Stieers — Fri, 27 Feb 2026 23:40:40 GMT

Вы можете проверить сертификат с помощью openssl. Это должно показать сертификаты и корневой каталог, который он использует: openssl.exe s_client -showcerts -connect :636
Есть также эта статья от Cisco:
https://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118761-technote-firesight-00.html
Вы должны получить соединение, если это не произошло, системный администратор должен выполнить некоторые действия.

Это электронное письмо предназначено исключительно для использования лицом, которому оно адресовано, и может содержать информацию, которая является привилегированной, конфиденциальной или иным образом освобожденной от раскрытия в соответствии с применимым законодательством. Если читатель этого электронного письма не является предполагаемым получателем или сотрудником или агентом, ответственным за доставку сообщения предполагаемому получателю, вы настоящим уведомляетесь, что любое распространение, распространение или копирование этого сообщения строго запрещено.
Если вы получили это сообщение по ошибке, пожалуйста, немедленно сообщите нам об этом по телефону и верните оригинальное сообщение по указанному адресу электронной почты.
Спасибо.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:39 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:39 GMT

Системный администратор сказал мне, что сертификат уже находится на сервере LDAP.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:38 GMT

Ken Stieers — Fri, 27 Feb 2026 23:40:38 GMT

Нет, вам не нужно выполнять никаких настроек на контроллере домена, кроме получения сертификата. Сначала проверьте контроллер домена. Войдите в систему, запустите/запустите, введите certlm.msc. В разделе «Личные/Сертификаты» вы должны увидеть сертификат. Обычно (при условии, что вы используете ADCS) он выдается на имя компьютера контроллера домена, и как только службы AD обнаруживают сертификат с правильным использованием, они его принимают и начинают обслуживать LDAPS.

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:37 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:37 GMT

Спасибо за ответ. Как я могу проверить сертификат для LDAPS? У меня есть корневой сертификат от Ca, импортированный в WSA. Нужно ли мне выполнять какие-либо настройки, связанные с сертификатом?

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:36 GMT

Konstantinos9 — Fri, 27 Feb 2026 23:40:36 GMT

Здравствуйте, ezzaariyouness, Я вижу, что вы выбрали LDAPS, и, похоже, соединение не удается из-за TLS-рукопожатия. (Сертификат «Недействительный/Истекший») Возможно, вам необходимо проверить связь между вашими LDAP-серверами и WSA и убедиться, что все сертификаты действительны для LDAPS. Надеюсь, это поможет. С уважением, Константинос

Reply to проблема интеграции Cisco WSA LDAPS on Fri, 27 Feb 2026 23:40:35 GMT

ezzaariyouness — Fri, 27 Feb 2026 23:40:35 GMT

Здравствуйте, эта проблема была связана с этой ошибкой:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwj13235 Решением проблемы было создание статического маршрута в Management для доступа к AD и указание на шлюз данных. В конце концов, мне удалось интегрировать WSA с серверами LDAP.