Cisco Cisco Firepower Management Center 4000 Betriebsanweisung

61-31

FireSIGHT 系统用户指南 

第 61 章      管理用户 

  管理身份验证对象  

步骤 7

或者，在 

 字段中修改主 RADIUS 身份验证服务器使用的端口。

注

如果身份验证端口号和记帐端口号不连续，请将此字段留空。然后，系统根据设备的 

/etc/services

 文件中的 

radius

 和 

radacct

 数据确定 RADIUS 端口号。

步骤 8

在 

 字段中键入主 RADIUS 身份验证服务器的密钥。

步骤 9

在 

 字段中键入要在其中获取身份验证数据的备份 RADIUS 身份验

证服务器的 IP 地址或主机名。

步骤 10

或者，在 

 字段中修改备份 RADIUS 身份验证服务器使用的端口。

注

如果身份验证端口号和记帐端口号不连续，请将此字段留空。然后，系统根据设备的 

/etc/services

 文件中的 

radius

 和 

radacct

 数据确定 RADIUS 端口号。

步骤 11

在 

 字段中键入备份 RADIUS 身份验证服务器的密钥。

步骤 12

在 

 字段中键入重试连接之前应经过的秒数。

步骤 13

在 

 字段中键入主服务器连接在滚动转移到备份服务器之前应尝试的次数。

步骤 14

进入下一节

。

配置 RADIUS 用户角色

许可证：任何环境

可以通过列出 FireSIGHT 系统使用的各访问角色的用户名来指定 RADIUS 服务器上现有用户的访问
角色。执行此操作时，还可以为 RADIUS 检测到的没有为特定角色指定的用户配置默认访问设置。

当用户登录时， FireSIGHT 系统会根据 RADIUS 配置检查 RADIUS 服务器并授予访问权限：

如果没有为用户配置特定访问权限且未选择默认访问角色，则新用户登录时， FireSIGHT 系
统会按照 RADIUS 服务器对用户进行身份验证，然后根据系统策略中设置的一个或多个默认
访问角色授予用户权限。

如果未在任何列表上指定新用户，并在身份验证对象的 

 列表中选择了默认访

问角色，则会为该用户分配这些访问角色。

如果为一个或多个特定角色向列表中添加用户，则该用户会接收所有已分配的访问角色。

也可以使用属性-值对而不是用户名来识别应接收特定用户角色的用户。例如，如果您知道所有应
为 Security Analyst 的用户对于其 

User-Category

 属性具有值 

Analyst

，则可以在 Security Analyst 

List 字段中键入 

User-Category=Analyst

，以将该角色授予这些用户。请注意，需要定义所有自定

义属性，然后再使用其设置用户角色成员资格。有关详细信息，请参阅

可以分配一个或多个要分配给已进行外部身份验证但没有为特定角色列出的任何用户的默认用户
角色。可以选择 

 列表上的多个角色。

有关 FireSIGHT 系统支持的用户角色的详细信息，请参阅

。

由于 RADIUS 用户列表成员资格，无法通过 FireSIGHT 系统用户管理页面移除已为其分配访问角
色的用户的最低访问权限。但是，可以分配其他权限。