Cisco Cisco Firepower Management Center 4000 User Guide
61-32
FireSIGHT 系统用户指南
第 61 章 管理用户
管理身份验证对象
注意事项
如果要更改用户的最低访问设置,则不仅必须在 RADIUS Specific Parameters 部分中将用户从一
个列表移至另一个列表或在 RADIUS 服务器上更改用户属性,还必须重新应用系统策略,并且必
须在用户管理页面上移除已分配的用户权限。
个列表移至另一个列表或在 RADIUS 服务器上更改用户属性,还必须重新应用系统策略,并且必
须在用户管理页面上移除已分配的用户权限。
要根据用户列表进行访问,请执行以下操作:
访问:管理
步骤 1
在与 FireSIGHT 系统用户角色对应的字段中,键入各用户的名称或应分配给这些角色的标识属性-
值对。将用户名和属性-值对以逗号分隔。
值对。将用户名和属性-值对以逗号分隔。
例如,要将 Administrator 角色授予用户
jsmith
和
jdoe
,请在
Administrator
字段中键入
jsmith,
jdoe
。
又例如,要将 Maintenance User 角色授予
User-Category
值为
Maintenance
的所有用户,请在
Maintenance User
字段中键入
User-Category=Maintenance
。
有关用户访问角色的详细信息,请参阅
步骤 2
从
Default User Role
列表中为不属于任何指定组的用户选择默认最低访问角色。
提示
点击角色名称的同时按 Ctrl 键以选择多个角色。
步骤 3
进入下一节
配置管理外壳访问
许可证:任何环境
也可以使用 RADIUS 服务器对本地设备 (受管设备或防御中心)上的外壳访问帐户进行身份验
证。指定要向其授予外壳访问的用户的用户名。请注意,只能为系统策略中的第一个身份验证对
象配置外壳访问。有关管理身份验证对象顺序的详细信息,请参阅
证。指定要向其授予外壳访问的用户的用户名。请注意,只能为系统策略中的第一个身份验证对
象配置外壳访问。有关管理身份验证对象顺序的详细信息,请参阅
。
注
外壳身份验证不支持 IPv6 地址。如果使用 IPv6 地址配置主 RADIUS 服务器,并且还配置管理外
壳访问,则会忽略外壳访问设置。要在对主 RADIUS 服务器使用 IPv6 地址时允许外壳身份验证,
请使用服务器的 IPv4 地址设置其他身份验证对象,并使用该 IPv4 对象作为系统策略中的第一个
身份验证对象。
壳访问,则会忽略外壳访问设置。要在对主 RADIUS 服务器使用 IPv6 地址时允许外壳身份验证,
请使用服务器的 IPv4 地址设置其他身份验证对象,并使用该 IPv4 对象作为系统策略中的第一个
身份验证对象。
除管理帐户以外,在 RADIUS 身份验证对象上设置的外壳访问列表完全控制设备上的外壳访问。应
用系统策略后,外壳用户配置为设备上的本地用户。请注意,在 RADIUS 服务器上使用属性匹配进
行身份验证的用户首次尝试登录时,会因已创建该用户帐户而被拒绝登录。用户必须再次登录。
用系统策略后,外壳用户配置为设备上的本地用户。请注意,在 RADIUS 服务器上使用属性匹配进
行身份验证的用户首次尝试登录时,会因已创建该用户帐户而被拒绝登录。用户必须再次登录。
请注意,各外壳用户的主目录是在登录时创建的,并且禁用 RADIUS 外壳访问用户帐户后 (通
过禁用 RADIUS 连接),该目录仍然保留,但是用户外壳在
过禁用 RADIUS 连接),该目录仍然保留,但是用户外壳在
/etc/password
中设置为
/bin/false
以禁用外壳。如果之后重新启用用户,则会使用同一主目录重置外壳。
外壳用户可以使用小写字母用户名登录。外壳的登录身份验证区分大小写。