Cisco Cisco Firepower Management Center 4000 User Guide

61-8

FireSIGHT 系统用户指南

第 61 章      管理用户       

  管理身份验证对象

可以替换其他 LDAP 属性，以使本地设备将用户名与该属性而不是可分辨名称值匹配。选择服务
器类型并设置默认值将会填写适合于该类型的服务器的 UI 访问属性。如果其中一个对象具有匹
配的用户名，而且对于非 CAC 对象，还具有作为您所指定属性的值的密码，系统会对用户登录
请求进行身份验证。如果属性的值是 FireSIGHT 系统Web 界面的有效用户名，则可以使用任何属
性。有效用户名是唯一的，并且可以包含下划线 (

_

)、句号 (

.

)、连字符 (

-

) 和字母数字字符。如果

要将对象用于 CAC 身份验证和授权，必须输入与用户名模板值对应的 UI 访问属性值。有关详细
信息，请参阅

。

外壳访问属性

如果 LDAP 服务器使用 

uid

 作为 外壳访问属性，则本地设备会按照 

uid

 的属性值检查在登录时输

入的用户名。也可以设置自定义外壳访问属性而非 

uid

。

请注意，选择服务器类型并设置默认值将会预填充通常适合于该类型的服务器的外壳访问属性。
如果属性的值是外壳访问的有效用户名，则可以使用任何属性。有效用户名是唯一的，并且可以
包含下划线 (_)、句号 (.)、连字符 (-) 和字母数字字符。

了解用于管理访问的组成员资格

许可证：任何环境

如果首选将默认访问权限基于 LDAP 组中的用户成员资格，则可以为 FireSIGHT 系统使用的各访
问角色指定 LDAP 服务器上现有组的可分辨名称。执行此操作时，可以为 LDAP 检测到的不属于
任何指定组的用户配置默认访问设置。当用户登录时， FireSIGHT 系统动态检查 LDAP 服务器并
根据用户的当前组成员资格分配访问权限。

当 LDAP 服务器执行身份验证的用户首次登录到本地 FireSIGHT 系统设备中时，用户会接收其所
属的组的访问权限，或者，如果组未进行配置，则会接收在系统策略中选择的默认访问设置。

除非通过组成员资格授予设置，否则之后可以修改这些设置。

了解外壳访问

许可证：任何环境

可以使用 LDAP 服务器对受管设备或防御中心上的外壳访问帐户进行身份验证。指定用于为要向
其授予外壳访问的用户检索条目的搜索过滤器。请注意，只能为系统策略中的第一个身份验证对
象配置外壳访问。有关管理身份验证对象顺序的详细信息，请参阅

。

除管理员帐户以外，外壳访问完全通过所设置的外壳访问属性进行控制。外壳用户配置为设备上
的本地用户。此处设置的过滤器确定 LDAP 服务器上可登录到外壳中的用户集。

请注意，各外壳用户的主目录是在登录时创建的，并且禁用 LDAP 外壳访问用户帐户后 （通过禁
用 LDAP 连接），该目录仍然保留，但是用户外壳在 

/etc/password

 中设置为 

/bin/false

 以禁用

外壳。如果之后重新启用用户，则会使用同一主目录重置外壳。

如果基础 DN 中限定的所有用户也有资格获取外壳访问权限，则可以配置外壳访问过滤器，通过
选择 

 来更高效地进行搜索。通常，用来检索用户的 LDAP 查询会将基本过滤器

与外壳访问过滤器进行组合。如果键入与基本过滤器相同的外壳访问过滤器，则同一查询会运行
两次，从而不必要地耗时。

外壳用户可以使用小写字母用户名登录。外壳的登录身份验证区分大小写。

注意事项

在 3 系列 防御中心上，所有外壳用户都具有 

sudoers

 权限。请确保适当地限制具有外壳访问的用

户列表。在 3 系列 和虚拟设备上，授予外部身份验证用户的外壳访问默认为 

 级别的

命令行访问，它还授予 

sudoers

 权限。