Cisco Cisco Firepower Management Center 4000 User Guide
61-15
FireSIGHT 系统用户指南
第 61 章 管理用户
管理身份验证对象
例如,如果是尝试使用
domainadmin@myrtle.example.com
用户和基本过滤器 (
cn=*
) 连接到
myrtle.example.com
上的安全域,则可以使用以下语句测试连接:
ldapsearch -x -b 'CN=security,DC=myrtle,DC=example,DC=com'
-h myrtle.example.com -p 389 -v -D
'domainadmin@myrtle.example.com' -W '(cn=*)'
如果可以成功测试连接,但在应用系统策略后身份验证不起作用,请检查在应用到设备的系统策
略中是否已启用要使用的身份验证和对象。
略中是否已启用要使用的身份验证和对象。
如果成功连接,但要调整连接检索到的用户列表,则可以添加或更改基本过滤器或外壳访问过滤
器,或者使用限制较多或较少的基础 DN。有关详细信息,请参阅:
器,或者使用限制较多或较少的基础 DN。有关详细信息,请参阅:
•
•
•
创建高级 LDAP 身份验证对象
许可证:任何环境
可以创建 LDAP 身份验证对象来为设备提供用户身份验证服务。
创建身份验证对象时,可定义用于连接到身份验证服务器的设置。还可以选择要用于从服务器检
索用户数据的目录上下文和搜索条件。或者,可以配置外壳访问身份验证。
索用户数据的目录上下文和搜索条件。或者,可以配置外壳访问身份验证。
确保具有从本地设备到要连接的身份验证服务器的 TCP/IP 访问。
尽管可以使用服务器类型的默认设置快速设置基本 LDAP 配置,但也可以定制高级设置,以控制设
备是否与 LDAP 服务器建立加密连接,连接超时,以及服务器会检查哪些属性来获取用户信息。
备是否与 LDAP 服务器建立加密连接,连接超时,以及服务器会检查哪些属性来获取用户信息。
对于特定于 LDAP 的参数,可以使用 LDAP 命名标准和过滤器及属性语法。有关详细信息,请参
阅轻量目录访问控制协议 (v3) 中列出的 RFC:“Technical Specification, RFC 3377” (技术规
范, RFC 3377)。本过程各处提供了语法示例。请注意,如果将身份验证对象设置为连接到
Microsoft Active Directory Server,可以在引用包含域的用户名时使用互联网 RFC 822 (ARPA 互
联网文本消息格式的标准)规范中记录的地址规范语法。例如,为引用用户对象,可能会在使用
Microsoft Active Directory Server 时键入
阅轻量目录访问控制协议 (v3) 中列出的 RFC:“Technical Specification, RFC 3377” (技术规
范, RFC 3377)。本过程各处提供了语法示例。请注意,如果将身份验证对象设置为连接到
Microsoft Active Directory Server,可以在引用包含域的用户名时使用互联网 RFC 822 (ARPA 互
联网文本消息格式的标准)规范中记录的地址规范语法。例如,为引用用户对象,可能会在使用
Microsoft Active Directory Server 时键入
JoeSmith@security.example.com
而不是等效的用户基础
可分辨名称
cn=JoeSmith,ou=security, dc=example,dc=com
。
注
如果是配置用于 CAC 身份验证的 LDAP 身份验证对象,请勿移除在计算机中插入的 CAC。启用
用户证书后,必须一直插入 CAC。有关详细信息,请参阅
用户证书后,必须一直插入 CAC。有关详细信息,请参阅
和
要创建高级身份验证对象,请执行以下操作:
访问:管理
步骤 1
选择
System > Local > User Management
。
系统将显示 User Management 页面。
步骤 2
点击
External Authentication
选项卡。
系统将显示 External Authentication 页面。
步骤 3
点击
Create External Authentication Object
。
系统将显示 Create External Authentication Object 页面。