Cisco Cisco Firepower Management Center 4000 User Guide
61-3
FireSIGHT 系统用户指南
第 61 章 管理用户
了解思科用户身份验证
由于是手动创建每个进行内部身份验证的用户,因此在创建用户时设置访问权限,并且无需设置
默认设置。
默认设置。
注
请注意,在以下情况下,进行内部身份验证的用户会转换为外部身份验证:启用外部身份验证,
对于外部服务器上的用户存在同一用户名,用户使用在外部服务器上为该用户存储的密码进行登
录。内部身份验证用户转换为外部身份验证用户后,无法还原为该用户的内部身份验证。
对于外部服务器上的用户存在同一用户名,用户使用在外部服务器上为该用户存储的密码进行登
录。内部身份验证用户转换为外部身份验证用户后,无法还原为该用户的内部身份验证。
了解外部身份验证
许可证:任何环境
当防御中心或受管设备从外部存储库 (例如, LDAP 目录服务器或 RADIUS 身份验证服务器)检
索用户凭证时,即发生外部身份验证。 LDAP 身份验证和 RADIUS 身份验证是外部身份验证类
型。请注意,只能为设备使用一种形式的外部身份验证。
索用户凭证时,即发生外部身份验证。 LDAP 身份验证和 RADIUS 身份验证是外部身份验证类
型。请注意,只能为设备使用一种形式的外部身份验证。
如果要使用外部身份验证,必须为要请求用户信息的每个外部身份验证服务器都配置
身份验证对
象。身份验证对象包含用于连接到该服务器和从中检索用户数据的设置。然后,可以在主管防御
中心上的系统策略中启用该对象,并将策略应用到要启用身份验证的设备。当任何外部身份验证
用户登录时, Web 界面会检查每个身份验证服务器,以查看是否按照服务器在系统策略中的列出
顺序列出该用户。
中心上的系统策略中启用该对象,并将策略应用到要启用身份验证的设备。当任何外部身份验证
用户登录时, Web 界面会检查每个身份验证服务器,以查看是否按照服务器在系统策略中的列出
顺序列出该用户。
创建用户时,可以指定对该用户进行内部还是外部身份验证。
注
在3 系列 受管设备上启用外部身份验证之前,请移除与外壳访问过滤器中包含的外部身份验证用
户具有相同用户名的所有内部身份验证外壳用户。
户具有相同用户名的所有内部身份验证外壳用户。
可以将系统策略推送到受管设备,以在该设备上启用外部身份验证,但是不能从设备的 Web 界面
控制身份验证对象。为新用户选择身份验证类型时,将会对设备上的外部身份验证进行唯一配
置。如果要在受管设备上禁用外部身份验证,请在管理防御中心上的系统策略中将其禁用,并将
策略重新应用到该设备。如果将在受管设备上创建的本地系统策略应用到设备本身,则还会禁用
外部身份验证。
控制身份验证对象。为新用户选择身份验证类型时,将会对设备上的外部身份验证进行唯一配
置。如果要在受管设备上禁用外部身份验证,请在管理防御中心上的系统策略中将其禁用,并将
策略重新应用到该设备。如果将在受管设备上创建的本地系统策略应用到设备本身,则还会禁用
外部身份验证。
提示
可以使用导入/导出功能导出系统策略。导出已启用外部身份验证的策略时,身份验证对象随该策
略导出。然后,可以在另一个防御中心上导入策略和对象。请勿将含有身份验证对象的策略导入
到受管设备上。
略导出。然后,可以在另一个防御中心上导入策略和对象。请勿将含有身份验证对象的策略导入
到受管设备上。
有关特定类型的外部身份验证的详细信息,请参阅:
•
•
了解用户权限
许可证:任何环境
通过 FireSIGHT 系统,可以根据用户的角色分配用户权限。例如,分析师通常需要访问事件数据
以分析监控网络的安全性,但是,可能从不需要访问 FireSIGHT 系统本身的管理功能。可以授予
分析师预定义角色 (如 Security Analyst 和 Discovery Admin)并为管理 FireSIGHT 系统的网络管
理员保留管理员角色。也可以创建具有根据贵组织需求定制的访问权限的自定义用户角色。
以分析监控网络的安全性,但是,可能从不需要访问 FireSIGHT 系统本身的管理功能。可以授予
分析师预定义角色 (如 Security Analyst 和 Discovery Admin)并为管理 FireSIGHT 系统的网络管
理员保留管理员角色。也可以创建具有根据贵组织需求定制的访问权限的自定义用户角色。