Cisco Cisco Firepower Management Center 4000 Betriebsanweisung

17-4

FireSIGHT 系统用户指南

第 17 章      按照用户控制流量       

  检索访问受控用户和 LDAP 用户元数据

检索访问受控用户和 LDAP 用户元数据

许可证：FireSIGHT或可控性

受支持的设备：因功能而异

受支持的防御中心：因功能而异

如果要执行用户控制（即，编写包含用户条件的访问控制规则），必须配置 防御中心与贵组织的至
少一个 Microsoft Active Directory 服务器之间的连接。防御中心定期和自动查询 LDAP 服务器以更
新访问受控用户的元数据，访问受控用户指您要通过用户代理监控其活动的以及您在限制流量时
可以用作条件的用户和组。防御中心还可以检索用户代理已报告其活动的非访问受控用户的元数
据。或者，可执行按需查询。

如果您未在执行用户控制，则可以查询其他类型的 LDAP 服务器，以获取用户感知数据 —— 与由用
户发现检测其活动而不是由用户代理报告其活动的 POP3 和 IMAP 用户以及 LDAP 用户的相关联的
元数据。系统使用 POP3 和 IMAP 登录中的邮件地址与 Active Directory、OpenLDAP 或 Oracle 
Directory Server Enterprise Edition 服务器上的 LDAP 用户相关联。在这种情况下，防御中心定期查询 
LDAP 服务器，获取上一次查询之后系统检测到其活动的用户的新的和更新的元数据。

有关详情，请参阅：

连接 LDAP 服务器以实现用户感知和控制

许可证：FireSIGHT或可控性

受支持的设备：因功能而异

受支持的防御中心：因功能而异

防御中心与贵组织的 LDAP 服务器之间的连接可以：

指定要通过用户代理监控其活动以及您在使用访问控制规则限制流量时可用作条件的访问受
控用户和组。

可供您查询服务器上有关访问受控用户和一些非访问受控用户的元数据：通过用户发现检测
到的 POP3 和 IMAP 用户，以及通过用户发现或用户代理检测到其活动的 LDAP 用户。

这些连接或

用户感知对象，为 LDAP 服务器指定连接设置和身份验证过滤器设置。它们类似于您

配置用于管理 FireSIGHT 系统网络界面的外部身份验证的身份验证对象；请参阅

要执行用户控制，您必须连接到 Microsoft Active Directory LDAP 服务器。如果您只是希望检索 
LDAP 用户元数据，则系统支持连接其他类型的 LDAP 服务器；请参阅

。

当系统检测到用户活动时，系统会向防御中心用户数据库，也称为用户身份数据库，添加该用户
的记录。防御中心定期查询 LDAP 服务器，获取自上次查询之后检测到其活动的新的和更新的用
户的元数据。对于已存在于数据库中的用户，如果其元数据在过去 12 小时里未更新，则系统会
为其更新元数据。系统检测到新用户登录后，防御中心更新用户元数据可能需要几分钟时间。

系统使用 POP3 和 IMAP 登录中的邮件地址与 LDAP 服务器上的用户关联。例如，如果受管设备
检测到某个用户使用与某个 LDAP 用户相同的邮件地址登录 POP3，则系统会将 LDAP 用户的元
数据与该用户关联。