Cisco Cisco Firepower Management Center 4000 User Guide
17-6
FireSIGHT 系统用户指南
第 17 章 按照用户控制流量
检索访问受控用户和 LDAP 用户元数据
用户和组访问控制参数
要执行用户控制,请指定要在访问控制规则中用作条件的组。
包含某个组即会自动包含该组的所有成员(包括任何子组的成员)。但是,如果要在访问控制
规则中使用子组,必须明确包含要使用的子组。还可排除组和单个用户。排除某个组将会排除
该组的所有成员,即使用户是包含的组的成员。
规则中使用子组,必须明确包含要使用的子组。还可排除组和单个用户。排除某个组将会排除
该组的所有成员,即使用户是包含的组的成员。
可在访问控制中使用的最大用户数取决于 FireSIGHT 许可证。选择要包含的用户和组时,请
确保用户总数小于 FireSIGHT 用户许可证数量。如果访问控制参数范围太宽泛,防御中心会
尽可能获取有关更多用户的信息,并报告无法在任务队列中检索的用户数。
确保用户总数小于 FireSIGHT 用户许可证数量。如果访问控制参数范围太宽泛,防御中心会
尽可能获取有关更多用户的信息,并报告无法在任务队列中检索的用户数。
注
如果没有指定要包含的任何组,系统将会检索与您提供的 LDAP 参数匹配的所有组的用户数据。
出于性能方面的考虑,思科建议您仅明确包含代表要在访问控制中使用的用户的组。请注意,不
能包含用户或域用户组。
出于性能方面的考虑,思科建议您仅明确包含代表要在访问控制中使用的用户的组。请注意,不
能包含用户或域用户组。
还必须指定防御中心查询 LDAP 服务器以获取要在访问控制中使用的新用户的频率。
在创建 LDAP 连接后,点击删除图标 (
) 并确认选择,即可将其删除。要修改 LDAP 连接,请
点击编辑图标 (
)。启用连接后,防御中心下一次查询 LDAP 服务器时您所保存的更改会生效。
要为用户感知和用户控制创建 LDAP 连接,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Users
。
系统将显示 Users Policy 页面。
步骤 2
点击
Add LDAP Connection
。
系统将显示 Create User Awareness Authentication Object 页面。
步骤 3
在
Name
和
Description
字段中为对象键入名称和描述。
步骤 4
从
Server Type
中选择 LDAP 服务器类型。
如果需要执行用户控制,必须使用 Microsoft Active Directory 服务器。
注
代理无法向防御中心发送以
$
字符结尾的 Active Directory 用户名。如果您要监控这些用户,则必
须移除最后的
$
字符。
步骤 5
IP Address
或
Host Name
中为主 LDAP 服务器指定 IP 地址或主机名(如有需要,也可以为备份 LDAP
服务器指定这两项)。
步骤 6
在
Port
中指定 LDAP 服务器用于身份验证流量的端口。
步骤 7
在
Base DN
中为要访问的 LDAP 目录指定基础 DN。
例如,要对示例公司的安全组织中的名称进行身份验证,请键入
ou=security,dc=example,dc=com
。
提示
要获取完整的可用域列表,请点击
Fetch DNs
,并从下拉列表中选择相应的基本识别名称。