el 04-07-2020 11:36 AM - fecha de última edición 04-07-2020 11:50 AM por Hilda Arteaga
-Este tipo de evento era formalmente conocido como Pregunte al Experto-
Esta sesión continua la conversación del reciente evento de Ask Me Anything “Cómo trabajar seguro de forma remota”
En este evento usted podrá preguntar y clarificar sus dudas de las mejores prácticas de configuración y troubleshooting para AnyConnect secure mobility cliente en Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD), así como de su integración con otros dispositivos y tecnologías del portafolio de seguridad de Cisco, como ISE y Duo.
La sesión brinda la oportunidad de aprender y realizar preguntas relacionadas a los distintos aspectos de la implementación de AnyConnect (usando SSL and Ikev2), ncluyendo temas de (pero no limitados a) licencias de emergencia, configuración, deployment y troubleshooting de AnnyConnect, mismas que ayudan a que su organización se encuentre segura y protegida en situaciones críticas.
Haga sus preguntas del lunes 6 al viernes 17 de Abril del 2020.
** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.
el 05-29-2020 01:49 PM
Hola Uzhegov,
Cuando realizó la configuración de su dominio, ¿utilizó un FQDN o una dirección IP?
Ver abajo :
05-29-2020 01:51 PM - editado 05-29-2020 02:07 PM
Hola jgrudier,
Gracias por su respuesta.
Yo uso LDAP. Si no me equivoco, sólo puedo configurar el nombre de dominio completo con LDAP.
Mejores saludos.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 01:53 PM
Es correcto.
Creo que podría haber un problema con el DNS que no está configurado correctamente en el FTD.
¿Ya ha configurado el DNS?
Ver abajo :
05-29-2020 02:04 PM - editado 05-29-2020 02:06 PM
Gracias, efectivamente ese fue mi error. Pero ahora tengo un nuevo problema:
[19] Session Start
[19] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[19] Fiber started
[19] Creating LDAP context with uri=ldaps://172.25.YY.XX:636
[19] Connect to LDAP server: ldaps://172.25.YY.XX:636, status = Failed
[19] Unable to read rootDSE. Can't contact LDAP server.
[19] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[19] Session End
ldap_client_server_add: Add server:172.25.YY.XX, group=4
ldap_client_server_unlock: Free server:172.25.YY.XX, group=4
#telnet 172.25.YY.XX 636
Trying172.25.YY.XX...
Connected to172.25.YY.XX.
Escape character is '^]'.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:10 PM
Sí lo he hecho.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:12 PM
Este es el resultado de la configuración de depuración debug y ldaps:
[27] Session Start
[27] New request Session, context 0x00002b5de5d453b0, reqType = Authentication
[27] Fiber started
[27] Creating LDAP context with uri=ldaps://172.25.XX.YY:636
[27] Connect to LDAP server: ldaps://172.25.XX.YY:636, status = Failed
[27] Unable to read rootDSE. Can't contact LDAP server.
[27] Fiber exit Tx=0 bytes Rx=0 bytes, status=-2
[27] Session End
ldap_client_server_add: Add server:172.25.XX.YY, group=4
ldap_client_server_unlock: Free server:172.25.XX.YY, group=4
telnet 172.25.XX.YY 636
Trying 172.25.XX.YY...
Connected to 172.25.XX.YY.
Escape character is '^]'.
^C
aaa-server srv protocol ldap
max-failed-attempts 4
realm-id 3
aaa-server srv-dc host srv-dc
server-port 636
ldap-base-dn DC=name,DC=local
ldap-group-base-dn DC=name,DC=local
ldap-scope subtree
ldap-naming-attribute samaccountname
ldap-login-password *****
ldap-login-dn user@name.local
ldap-over-ssl enable
server-type microsoft
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:14 PM
Como prueba, si regresa a LDAP, en lugar de LDAPs, ¿consigue lograrlo?
¿Ha verificado que el certificado sea válido y que el servidor LDAP lo haya aceptado?
el 05-29-2020 02:16 PM
Nunca había usado LDAP. Ahora migré de ASA a FTP, y en ldaps el ASA sí me funciona bien.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:17 PM
En System/Integration/Realms se encuentra el estado i.O. y también puedo ver los grupos de usuarios.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:20 PM
El FirePower Management Center tiene un certificado de raíz CA (Root CA Certificate). ¿Debo instalar un certificado en el FTD?
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:23 PM
¿El dispositivo FTD tiene los certificados raíz y de subautoridad del servidor LDAP como autoridades de certificación confiables?
el 05-29-2020 02:24 PM
El dispositivo FTD sólo tiene el certificado de autofirma Self Sign Certificate. El certificado de autoridad CA raíz (Root CA Certificate) sólo tiene el FirePower Management Center.
Intenté agregar el certificado de autoridad CA raíz (Root CA Certificate) en Dispositivos / Certificado, pero no veo el certificado.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:26 PM
En este punto, creo que sería mejor abrir un caso. Deberíamos comenzar revisando a detalle los certificados y otras configuraciones específicas, en cuyo caso no es prudente compartirlo aquí.
el 05-29-2020 02:28 PM
Gracias por su respuesta.
Ayer lo hice (#SR 688828253), pero por el momento no tengo todavía una solución.
Nota: Esta pregunta es una traducción de un post originalmente generado en inglés por Jewgeni Uschegow. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.
el 05-29-2020 02:31 PM
Me reuniré con el ingeniero que lo lleva y echaré un vistazo a su caso.
En cuanto al problema de instalación del certificado, vea el siguiente video alrededor del quinto minuto y revise los pasos necesarios para instalar el certificado en el FTD. Creo que el problema podría ser que la autoridad de certificación que instaló inicialmente no es la autoridad de certificación que finalmente firmó su certificado de identidad.
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad