Cisco Cisco Firepower Management Center 4000 User Guide
61-29
FireSIGHT 系统用户指南
第 61 章 管理用户
管理身份验证对象
了解 RADIUS 身份验证
许可证:任何环境
在 RADIUS 服务器上进行身份验证的用户首次登录时,该用户会接收在身份验证对象中为其指定
的角色。如果没有为任何用户角色列出该用户,则会接收在身份验证对象中选择的默认访问角
色。如果在身份验证对象中未选择默认访问角色,则会接收系统策略中的默认访问角色。除非通
过身份验证对象中的用户列表对设置进行授权,否则在需要时可以修改用户的角色。请注意,在
RADIUS 服务器上使用属性匹配进行身份验证的用户首次尝试登录时,会因已创建该用户帐户而
被拒绝登录。用户必须再次登录。
的角色。如果没有为任何用户角色列出该用户,则会接收在身份验证对象中选择的默认访问角
色。如果在身份验证对象中未选择默认访问角色,则会接收系统策略中的默认访问角色。除非通
过身份验证对象中的用户列表对设置进行授权,否则在需要时可以修改用户的角色。请注意,在
RADIUS 服务器上使用属性匹配进行身份验证的用户首次尝试登录时,会因已创建该用户帐户而
被拒绝登录。用户必须再次登录。
注
在3 系列 受管设备上启用外部身份验证之前,请移除与外壳访问过滤器中包含的外部身份验证用
户具有相同用户名的所有内部身份验证外壳用户。
户具有相同用户名的所有内部身份验证外壳用户。
RADIUS 的 FireSIGHT 系统实施支持使用 SecurID® 令牌。使用 SecurID 通过服务器来配置身份
验证时,利用该服务器进行身份验证的用户会将 SecurID 令牌追加到其 SecurID PIN 的末尾,并
在其登录到思科设备中时将此用作其密码。只要 SecurID 正确配置为在 FireSIGHT 系统外部对用
户进行身份验证,这些用户即可使用其 PIN 以及 SecurID 令牌登录到 FireSIGHT 系统设备中,而
无需在设备上进行任何其他配置。
验证时,利用该服务器进行身份验证的用户会将 SecurID 令牌追加到其 SecurID PIN 的末尾,并
在其登录到思科设备中时将此用作其密码。只要 SecurID 正确配置为在 FireSIGHT 系统外部对用
户进行身份验证,这些用户即可使用其 PIN 以及 SecurID 令牌登录到 FireSIGHT 系统设备中,而
无需在设备上进行任何其他配置。
创建 RADIUS 身份验证对象
许可证:任何环境
创建 RADIUS 身份验证对象时,可定义用于连接到身份验证服务器的设置。另外将用户角色授予
特定用户和默认用户。如果 RADIUS 服务器为计划进行身份验证的任何用户返回自定义属性,必
须定义这些自定义属性。或者,也可以配置外壳访问身份验证。
特定用户和默认用户。如果 RADIUS 服务器为计划进行身份验证的任何用户返回自定义属性,必
须定义这些自定义属性。或者,也可以配置外壳访问身份验证。
请注意,要创建身份验证对象,需要从本地设备到要连接的身份验证服务器的 TCP/IP 访问。
要创建身份验证对象,请执行以下操作:
访问:管理
步骤 1
选择
System > Local > User Management
。
系统将显示 User Management 页面。
步骤 2
点击
External Authentication
选项卡。
系统将显示 External Authentication 页面。
步骤 3
点击
Create External Authentication Object
。
系统将显示 Create External Authentication Object 页面。
步骤 4
识别要在其中检索用于外部身份验证的用户数据并设置超时值和重试值的主身份验证服务器及备
份身份验证服务器。有关详细信息,请参阅
份身份验证服务器。有关详细信息,请参阅
。
步骤 5
设置默认用户角色。或者,指定要接收特定 FireSIGHT 系统访问角色的用户的用户或用户属性
值。有关详细信息,请参阅
值。有关详细信息,请参阅
。
步骤 6
或者,配置管理外壳访问。有关详细信息,请参阅
步骤 7
如果要进行身份验证的任何用户的配置文件返回自定义 RADIUS 属性,请定义这些属性。有关详
细信息,请参阅
细信息,请参阅