Cisco Cisco Firepower Management Center 4000 User Guide
61-11
FireSIGHT 系统用户指南
第 61 章 管理用户
管理身份验证对象
准备创建 LDAP 身份验证对象
许可证:任何环境
在配置与 LDAP 服务器的连接之前,应该收集创建 LDAP 身份验证对象所需的信息。有关特定方
面的配置的详细信息,请参阅
面的配置的详细信息,请参阅
所有身份验证对象都需要下列信息:
•
计划连接的服务器的服务器名称或 IP 地址
•
计划连接的服务器的服务器类型
•
具有浏览 LDAP 树的足够权限的用户帐户的用户名和密码
•
防火墙中用于允许传出连接的条目 (如果设备和 LDAP 服务器之间存在防火墙)
•
用户名驻留所在的服务器目录的基础可分辨名称 (如有可能)
请注意,可以使用第三方 LDAP 客户端浏览 LDAP 树和查看基础 DN 和属性描述。还可以使用该
客户端确认所选用户是否可以浏览选择的基础 DN。请求 LDAP 管理员为 LDAP 服务器推荐已批
准的 LDAP 客户端。
客户端确认所选用户是否可以浏览选择的基础 DN。请求 LDAP 管理员为 LDAP 服务器推荐已批
准的 LDAP 客户端。
根据计划如何定制 LDAP 身份验证对象配置,还可能需要下表中的信息。
创建基本 LDAP 身份验证对象
许可证:任何环境
可以设置用于定制许多值的 LDAP 身份验证对象。但是,如果只希望对特定目录中的所有用户进
行身份验证,则可以使用该目录的基础 DN 创建基本身份验证对象。如果将默认值设置为适用于
服务器类型的默认值,并为用于从服务器检索用户数据的帐户提供身份验证凭证,则可以快速创
建身份验证对象。请遵循以下步骤执行此操作。
行身份验证,则可以使用该目录的基础 DN 创建基本身份验证对象。如果将默认值设置为适用于
服务器类型的默认值,并为用于从服务器检索用户数据的帐户提供身份验证凭证,则可以快速创
建身份验证对象。请遵循以下步骤执行此操作。
表
61-1
其他
LDAP
配置信息
要......
您需要......
通过除 389 以外的端口进行连接
端口号
通过加密连接进行连接
用于连接的证书
根据属性值过滤可以访问设备的用户
进行过滤所依据的属性-值对
使用一个属性作为 UI 访问属性,而不是检
查用户可分辨名称
查用户可分辨名称
属性的名称
使用一个属性作为外壳登录属性,而不是
检查用户可分辨名称
检查用户可分辨名称
属性的名称
根据属性值过滤可以通过外壳访问设备的
用户
用户
进行过滤所依据的属性-值对
将组与特定用户角色关联
各组的可分辨名称以及组成员属性 (如果组是静
态组)或组成员 URL 属性 (如果组是动态组)
态组)或组成员 URL 属性 (如果组是动态组)
使用 CAC 进行身份验证和授权
CAC、由发行 CAC 的同一 CA 签名的服务器证
书,以及两个证书的证书链
书,以及两个证书的证书链