Cisco Cisco Firepower Management Center 4000 User Guide

61-22

FireSIGHT 系统用户指南

第 61 章      管理用户       

  管理身份验证对象

步骤 4

如果使用静态组，请在 

 字段中键入用于指定静态组中的成员资格的 LDAP 

属性。

例如，如果 

member

 属性用于指示为默认 Security Analyst 访问引用的静态组中的成员资格，请键

入 

member

。

步骤 5

如果使用动态组，请在 

 字段中键入包含用于确定动态组中的成员资格的 

LDAP 搜索字符串的 LDAP 属性。

例如，如果 

memberURL

 属性包含用于检索为默认管理员访问指定的动态组的成员的 LDAP 搜索，

请键入 

memberURL

。

步骤 6

进入下一节

配置外壳访问

许可证：任何环境

还可以使用 LDAP 服务器对受管设备或防御中心上的外壳访问帐户进行身份验证。指定用于为要
向其授予外壳访问的用户检索条目的搜索过滤器。

请注意，不能在同一身份验证对象中配置 CAC 身份验证和授权及外壳访问。相反，创建单独的
身份验证对象并在系统策略中分别将其启用。外壳访问的身份验证对象必须是系统策略中的第一
个身份验证对象。有关管理身份验证对象顺序的详细信息，请参阅

。

注

思科不支持虚拟设备或 用于 Blue Coat X-系列的思科 NGIPS的外部身份验证。此外，外壳访问身
份验证不支持 IPv6。

除管理员帐户以外，外壳访问完全通过所设置的外壳访问属性进行控制。所设置的外壳访问过滤
器确定 LDAP 服务器上可登录到外壳中的用户集。

请注意，各外壳用户的主目录是在登录时创建的，并且禁用 LDAP 外壳访问用户帐户后 （通过禁
用 LDAP 连接），该目录仍然保留，但是用户外壳在 

/etc/password

 中设置为 

/bin/false

 以禁用

外壳。如果之后重新启用用户，则会使用同一主目录重置外壳。

如果基础 DN 中限定的所有用户也有资格获取外壳访问权限，则通过 

 复选框可

更高效地进行搜索。通常，用来检索用户的 LDAP 查询会将基本过滤器与外壳访问过滤器进行组
合。如果外壳访问过滤器与基本过滤器相同，则同一查询会运行两次，从而不必要地耗时。可以
使用 

 选项仅运行一次查询来实现两个目的。

外壳用户可以使用小写字母用户名登录。外壳的登录身份验证区分大小写。

注意事项

在 3 系列 防御中心上，所有外壳用户都具有 

sudoers

 权限。请确保适当地限制具有外壳访问的用

户列表。在 3 系列 和虚拟设备上，授予外部身份验证用户的外壳访问默认为 

 级别的

命令行访问，它还授予 

sudoers

 权限。

要配置外壳帐户身份验证，请执行以下操作：

访问：管理

步骤 1

或者，在 Create External Authentication Object 页面上，设置外壳访问帐户过滤器。您有多个选择：

要根据属性值检索管理用户条目，请在 

 字段中键入要用作过滤器的属性名、

比较运算符和属性值 （用括号括起来）。