Cisco Cisco Firepower Management Center 2000 User Guide
61-7
FireSIGHT 系统用户指南
第 61 章 管理用户
管理身份验证对象
了解模拟帐户
许可证:任何环境
要允许本地设备访问用户对象,必须为模拟帐户提供用户凭证。
模拟帐户是具有按基础 DN 浏览
目录名称并检索要检索的用户对象的适当权限的用户帐户。请记住,所指定用户的可分辨名称对
于服务器树必须唯一。
于服务器树必须唯一。
了解 LDAP 连接
许可证:任何环境
可以管理 LDAP 连接的加密方法。可以选择不加密、传输层安全 (TLS) 或安全套接字层 (SSL) 加密。
请注意,如果在通过 TLS 或 SSL 进行连接时使用证书进行身份验证,则证书中 LDAP 服务器的
名称必须与在 Host Name/IP Address 字段中使用的名称匹配。例如,如果在外部身份验证设置中
输入
名称必须与在 Host Name/IP Address 字段中使用的名称匹配。例如,如果在外部身份验证设置中
输入
10.10.10.250
并在证书中输入
computer1.example.com
,则连接失败。将外部身份验证设置
中的服务器名称更改为
computer1.example.com
可成功连接。
了解用户名模板
许可证:任何环境
选择用户名模板可通过将字符串转换字符 (
%s
) 映射到用户的 UI 访问属性或外壳访问属性的值来
指示应如何格式化登录时输入的用户名。用户名模板是用于身份验证的可分辨名称的格式。当用
户将用户名输入到登录页面中时,该名称会替换字符串转换字符,产生的可分辨名称用于搜索用
户凭证。
户将用户名输入到登录页面中时,该名称会替换字符串转换字符,产生的可分辨名称用于搜索用
户凭证。
例如,要为 Example 公司的 Security 部门设置用户名模板,可能会输入
%s@security.example.com
。
如果要将对象用于 CAC 身份验证和授权,必须输入与 UI 访问属性值对应的用户名模板值。有关详
细信息,请参阅
细信息,请参阅
。
了解连接超时
许可证:任何环境
如果指定备份身份验证服务器,则可以为对主服务器进行的连接尝试设置超时。如果在经过超时
期后主身份验证服务器没有响应,则设备将查询备份服务器。例如,如果主服务器已禁用
LDAP,则设备将查询备份服务器。
期后主身份验证服务器没有响应,则设备将查询备份服务器。例如,如果主服务器已禁用
LDAP,则设备将查询备份服务器。
但是,如果 LDAP 是在主 LDAP 服务器的端口上运行,并且因某种原因而拒绝服务请求 (由于配
置错误或其他问题),则不会故障转移到备份服务器。
置错误或其他问题),则不会故障转移到备份服务器。
了解用于管理访问的属性
许可证:任何环境
不同类型的 LDAP 服务器使用不同属性来存储用户数据。有关 UI 和外壳访问属性的说明,请参
阅以下章节。
阅以下章节。
UI 访问属性
如果 LDAP 服务器使用 UI 访问属性
uid
,则本地设备会检查树中由所设置的基础 DN 指示的各对
象的
uid
属性值。如果没有设置特定 UI 访问属性,则本地设备会检查 LDAP 服务器上各用户记
录的可分辨名称以查看其是否与用户名匹配。如果其中一个对象具有匹配的用户名和密码,表明
用户登录请求已进行身份验证。
用户登录请求已进行身份验证。