Cisco Cisco Firepower Management Center 2000 User Guide

61-4

FireSIGHT 系统用户指南

第 61 章      管理用户       

  了解思科用户身份验证

在防御中心上的系统策略中，为所有进行外部身份验证的用户设置默认访问角色。外部身份验证
用户首次登录后，可以在 User Management 页面上添加或移除该用户的访问权限。如果没有修改
用户权限，则用户仅具有默认授予的权限。由于是手动创建内部身份验证用户，因此在创建这些
用户时设置访问权限。

如果通过 LDAP 组配置访问权限的管理，则用户的访问权限基于其在 LDAP 组中的成员资格。他
们接收其所属的具有最高访问级别的组的默认访问权限。如果他们不属于任何组，并且您已配置
组访问权，则他们会接收在 LDAP 服务器的身份验证对象中配置的默认用户访问权限。如果配置
组访问权，则这些设置会覆盖系统策略中的默认访问设置。

同样，如果将用户分配到 RADIUS 身份验证对象中的特定用户角色列表，则除非其中一个或多个
角色互不兼容，否则该用户会接收分配的所有角色。如果用户在两个互不兼容角色的列表上，则
用户会接收具有最高访问级别的角色。如果用户不属于任何列表，并且您已在身份验证对象中配
置默认访问角色，则用户会接收该角色。如果已在身份验证对象中配置默认访问，则这些设置会
覆盖系统策略中的默认访问设置。

根据已许可的功能， FireSIGHT 系统支持下列预定义用户角色 （按优先顺序列出）：

Access Admin 可以查看并修改访问控制和文件策略，但是无法应用其策略更改。

Administrator 可以设置设备的网络配置，管理用户帐户和综合安全智能云连接，以及配置系
统策略和系统设置。承担管理员角色的用户具有所有其他角色的所有权限 （不同在于这些特
权的版本更少且受限制）。

Discovery Admin 可以审查、修改和删除网络发现策略，但是无法应用其策略更改。

外部数据库用户可以使用支持 JDBC SSL 连接的外部应用来查询 FireSIGHT 系统数据库。在 
Web 界面上，他们可以访问联机帮助和用户首选项。

Intrusion Admin 有权访问所有入侵策略、入侵规则和网络分析策略功能。 Intrusion Admin 有
权访问 

 菜单中与入侵相关的选项。请注意， Intrusion Admin 无法将入侵策略或网络分

析策略应用为访问控制策略的一部分。

Maintenance User 可以访问监控功能 （包括运行状况监控、主机统计、性能数据和系统日
志）和维护功能 （包括任务安排和备份系统）。

请注意，维护人员无权访问 

 菜单中的功能，只能从 

 菜单访问控制面板。

Network Admin 可以审查、修改和应用设备配置，以及审查和修改访问控制策略。

Security Approver 可以查看和应用 （但不创建）配置和策略更改。

Security Analyst 可以审查、分析和删除入侵、发现、用户活动、连接、相关性和网络更改事
件。他们可以审查、分析及 （适用时）删除主机、主机属性、服务、漏洞和客户端应用。
Security Analyst 还可以生成报告和查看 （但不删除或修改）运行状况事件。

Security Analyst (Read Only) 具有与 Security Analyst 相同的所有权限，不同在于其无法删除事件。

除以上预定义角色外，还可以配置具有专用访问权限的自定义用户角色。任何角色都可以是外部
身份验证用户的默认访问角色。

可以向外部身份验证用户帐户授予用户角色升级权限；还可以使用外部身份验证用户的密码作为
升级密码。有关详细信息，请参阅