Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
63-11
FireSIGHT 系统用户指南
第 63 章 管理系统策略
配置系统策略
•
第一
•
时间
•
tag
(如果已如上所述进行了定义)
注意事项
要允许发送加密的信息,您必须使用 HTTPS URL。请注意,将审核信息发送到外部 URL 可能会
影响系统性能。
影响系统性能。
步骤 11
点击
Save Policy and Exit
。
系统策略更新成功。只有在将系统策略应用于防御中心及其管理的设备后,所做的更改才会生
效。有关详细信息,请参阅
效。有关详细信息,请参阅
。
启用外部身份验证
许可证:任何环境
受支持的设备:任何防御中心,除了 X -系列
通常,当用户登录设备时,设备会将用户凭证与设备的本地数据库中存储的用户帐户进行比较,
以验证用户凭证。但是,如果您创建引用了外部身份验证服务器的身份验证对象,则可在系统策
略中启用外部身份验证,以使登录到防御中心或受管设备的用户对该服务器进行身份验证,而非
使用本地数据库。
以验证用户凭证。但是,如果您创建引用了外部身份验证服务器的身份验证对象,则可在系统策
略中启用外部身份验证,以使登录到防御中心或受管设备的用户对该服务器进行身份验证,而非
使用本地数据库。
将启用了外部身份验证的系统策略应用于某设备时,该设备会参照 LDAP 或 RADIUS 服务器上的
用户来验证用户凭证。此外,如果用户启用了本地的内部身份验证,而且用户凭证未在内部数据
库中找到,则设备将会检查外部服务器以寻找一组匹配的凭证。如果用户在多个系统上有相同的
用户名,则其所有密码在所有服务器上都可使用。但请注意,如果在可用的外部身份验证服务器
上进行身份验证时失败,设备不会将验证方式恢复为检查本地数据库。
用户来验证用户凭证。此外,如果用户启用了本地的内部身份验证,而且用户凭证未在内部数据
库中找到,则设备将会检查外部服务器以寻找一组匹配的凭证。如果用户在多个系统上有相同的
用户名,则其所有密码在所有服务器上都可使用。但请注意,如果在可用的外部身份验证服务器
上进行身份验证时失败,设备不会将验证方式恢复为检查本地数据库。
启用外部身份验证时,对于采用外部身份验证的所有用户,都可为其设置默认的用户角色。您可
以选择多个角色,但它们必须可以组合在一起。例如,如果启用外部身份验证以仅检索贵公司的
“网络安全”组中的用户,则可将默认用户角色设置为包含安全分析师这一角色,以便用户可以
访问收集到的事件数据,同时您无需进行任何额外的用户配置。但是,如果外部身份验证不仅检
索该安全组,还检索其他人员的记录,则您可能希望不选择默认角色。有关可用用户角色的详细
信息,请参阅
以选择多个角色,但它们必须可以组合在一起。例如,如果启用外部身份验证以仅检索贵公司的
“网络安全”组中的用户,则可将默认用户角色设置为包含安全分析师这一角色,以便用户可以
访问收集到的事件数据,同时您无需进行任何额外的用户配置。但是,如果外部身份验证不仅检
索该安全组,还检索其他人员的记录,则您可能希望不选择默认角色。有关可用用户角色的详细
信息,请参阅
如果未选择访问角色,用户可以登录但无法访问任何功能。在用户尝试登录后,其帐户会在 User
Management 页面上列出,您可在该页面上编辑帐户以授予额外的权限。有关修改用户角色的详
细信息,请参阅
Management 页面上列出,您可在该页面上编辑帐户以授予额外的权限。有关修改用户角色的详
细信息,请参阅
。
提示
如果您将系统策略配置为使用一个用户角色且应用了该策略,后来又修改了策略以使用不同的默
认用户角色并重新应用了策略,则在修改帐户或删除帐户并重新创建它们之前,在修改前创建的
所有用户帐户都会保留第一个用户角色。
认用户角色并重新应用了策略,则在修改帐户或删除帐户并重新创建它们之前,在修改前创建的
所有用户帐户都会保留第一个用户角色。
如果要指定可参照 LDAP 服务器成功进行身份验证以进行外壳访问的用户组,必须首先在 LDAP
身份验证对象中设置外壳访问属性及其他设置,然后才能在系统策略中启用外部身份验证。有关
详细信息,请参阅
身份验证对象中设置外壳访问属性及其他设置,然后才能在系统策略中启用外部身份验证。有关
详细信息,请参阅
。
如果要指定可参照 LDAP 服务器成功进行身份验证以进行 CAC 身份验证和授权的用户组,必须
首先在 LDAP 身份验证对象中设置 UI 访问属性、用户名模板及其他设置,然后才能在系统策略
中启用外部身份验证。有关详细信息,请参阅
首先在 LDAP 身份验证对象中设置 UI 访问属性、用户名模板及其他设置,然后才能在系统策略
中启用外部身份验证。有关详细信息,请参阅