Cisco Cisco Firepower Management Center 4000 User Guide

61-21

FireSIGHT 系统用户指南 

第 61 章      管理用户 

  管理身份验证对象  

按组配置访问权限

许可证：任何环境

如果首选将默认访问权限基于 LDAP 组中的用户成员资格，则可以为 FireSIGHT 系统使用的各访
问角色指定 LDAP 服务器上现有组的可分辨名称。执行此操作时，可以为 LDAP 检测到的不属于
任何指定组的用户配置默认访问设置。当用户登录时， FireSIGHT 系统动态检查 LDAP 服务器并
根据用户的当前组成员资格分配默认访问权限。

如果计划将对象用于 CAC 身份验证和授权，思科建议配置 LDAP 组以管理 CAC 身份验证用户的
访问角色分配。有关详细信息，请参阅

引用的任何组都必须存在于 LDAP 服务器上。可以引用静态 LDAP 组或动态 LDAP 组。静态 
LDAP 组是成员资格由指向特定用户的组对象属性确定的组，动态 LDAP 组是通过创建根据用户
对象属性检索组用户的 LDAP 搜索来确定成员资格的组。角色的组访问权限仅影响身为组成员的
用户。

用户登录到 FireSIGHT 系统中时授予的访问权限取决于 LDAP 配置：

如果没有为 LDAP 服务器配置组访问权限，则在新用户登录时， FireSIGHT 系统利用 LDAP 
服务器对用户进行身份验证，然后根据系统策略中设置的默认最低访问角色授予用户权限。

如果配置任何组设置，则属于指定组的新用户将继承其所属的组的最低访问设置。

如果新用户不属于任何指定组，则会为用户分配在身份验证对象的 Group Controlled Access 
Roles 部分中指定的默认最低访问角色。

如果用户属于多个已配置组，则用户会接收具有最高访问的组的访问角色作为最低访问角色。

由于 LDAP 组成员资格，不能使用 FireSIGHT 系统用户管理页面移除已分配到访问角色的用户的
最低访问权限。但是，可以分配其他权限。修改外部身份验证用户的访问权限时， User 
Management 页面上的 Authentication Method 列提供状态 

。

注

如果使用动态组，则完全按照 LDAP 查询在 LDAP 服务器上的配置来使用 LDAP 查询。因此，
FireSIGHT 系统将搜索的递归数限制为 4，以防止搜索语法错误导致无限循环。如果在这些递归
中未建立用户的组成员资格，则会向用户授予 Group Controlled Access Roles 部分中定义的默认访
问角色。

要根据组成员资格配置默认角色，请执行以下操作：

访问：管理

步骤 1

在 Create External Authentication Object 页面上，点击 

 旁边的向下箭头。

此部分随即展开。

步骤 2

或者，按组成员资格配置访问默认值。

在与 FireSIGHT 系统用户角色对应的 

 字段中，键入包含应向其分配这些角色的用户的 LDAP 

组的可分辨名称。

例如，可能会在 

 字段中键入以下内容来对 

Example

 公司的信息技术部门中的名称进行

身份验证：

cn=itgroup,ou=groups, dc=example,dc=com

有关用户访问角色的详细信息，请参阅

。

步骤 3

从 

 列表中，选择不属于任何指定组的用户的默认最低访问角色。

提示

点击角色名称的同时按 Ctrl 键以选择多个角色。