Cisco Cisco Firepower Management Center 4000 User Guide

61-33

FireSIGHT 系统用户指南 

第 61 章      管理用户 

  管理身份验证对象  

注意事项

在3 系列 防御中心上，所有外壳用户都具有 

sudoers

 权限。请确保适当地限制具有外壳访问的用

户列表。在3 系列 和虚拟设备上，授予外部身份验证用户的外壳访问默认为 

 级别的命

令行访问，它还授予 

sudoers

 权限。

要配置外壳帐户身份验证，请执行以下操作：

访问：管理

步骤 1

在 

 字段中键入以逗号分隔的用户名。

注

如果选择不指定外壳访问过滤器，则在保存身份验证对象时会显示警告，要求确认是否意图将过
滤器留空。

步骤 2

进入下一节

定义自定义 RADIUS 属性

许可证：任何环境

如果 RADIUS 服务器返回 

/etc/radiusclient/

 中 

dictionary

 文件内不包含的属性值，并且计划使

用这些属性来设置具有这些属性的用户的用户角色，则需要在登录身份验证对象中定义这些属性。

可以通过查看 RADIUS 服务器上的用户配置文件来查找为用户返回的属性。

定义属性时，请提供属性的名称，其中包含字母数字字符。请注意，属性名称中的单词应以破折
号而不是空格进行分隔。另请提供属性 ID，它应为整数且不应与 

etc/radiusclient/dictionary

 

文件中的任何现有属性 ID 冲突。还请指定属性的类型：字符串、 IP 地址、整数或日期。

例如，如果在含有思科路由器的网络上使用了 RADIUS 服务器，则可能要使用 

Ascend-Assign-IP-Pool

 属性向从特定 IP 地址池登录的所有用户授予特定角色。

Ascend-Assign-IP-Pool

 是一个整数属性，用于定义允许用户登录的地址池，其中整数指示已分

配的 IP 地址池的编号。要声明自定义属性，请创建属性名称为 

Ascend-IP-Pool-Definition

、属

性 ID 为 

218

 且属性类型为 

integer

 的自定义属性。然后，可以在 

 字段中

键入 

Ascend-Assign-IP-Pool=2

，以将只读安全分析师权限授予 

Ascend-IP-Pool-Definition

 属性

值为 

2

 的所有用户。

创建 RADIUS 身份验证对象时，会在 FireSIGHT 系统设备上的 

/var/sf/userauth

 目录中创建该

对象的新目录文件。添加到身份验证对象的所有自定义属性都会添加到字典文件。

要定义自定义属性，请执行以下操作：

访问：管理

步骤 1

点击箭头以展开 Define Custom RADIUS Attributes 部分。

系统将显示属性字段。

步骤 2

在 

 字段中键入由字母数字字符和破折号组成的属性名称 （不含空格）。

步骤 3

在 

 字段中以整数形式键入属性 ID。

步骤 4

从 

 下拉列表中选择属性的类型。