Cisco Cisco Firepower Management Center 2000 User Guide

61-14

FireSIGHT 系统用户指南

第 61 章      管理用户       

  管理身份验证对象

调整基本 LDAP 身份验证连接

许可证：任何环境

如果创建 LDAP 身份验证对象，并且其无法成功连接到选择的服务器或无法检索所需的用户列
表，则可以调整该对象中的设置。

如果在测试连接时该连接失败，请尝试以下建议对配置进行故障排除。

使用屏幕顶部和测试输出中显示的消息确定对象的哪些方面导致问题。

检查用于对象的用户名和密码是否有效。

检查用户是否有权通过使用第三方 LDAP 浏览器连接到 LDAP 服务器来浏览至基础可分辨名
称中指示的目录。

检查用户名对于 LDAP 服务器的目录信息树是否唯一。

检查用户名是否仅包含下划线、句号、连字符和字母数字字符。

如果在测试输出中显示 LDAP 绑定错误 49，则表明用户的用户绑定失败。请尝试通过第三方
应用向服务器身份验证，以了解通过该连接进行的绑定是否也失败。

检查是否已正确识别服务器：

检查服务器 IP 地址或主机名是否正确。

检查是否有从本地设备到要连接的身份验证服务器的 TCP/IP 访问。

检查对服务器的访问是否未被防火墙阻止，以及已在对象中配置的端口是否打开。

如果是使用证书通过 TLS 或 SSL 进行连接，则证书中的主机名必须与用于服务器的主机名
匹配。

如果是对外壳访问进行身份验证，请检查是否未对服务器连接使用 IPv6 地址。

如果使用了服务器类型默认值，请检查是否具有正确的服务器类型，并再次点击 

 

以重置默认值。

有关详细信息，请参阅

如果键入了基础可分辨名称，请点击 

 以检索服务器上的所有可用基础可分辨名称，

然后从列表中选择名称。

如果使用的是任意过滤器、访问属性或高级设置，请检查各项是否有效且正确键入。

如果使用的是任意过滤器、访问属性或高级设置，请尝试移除各设置并测试没有此设置的对象。

如果使用的是基本过滤器或外壳访问过滤器，请确保用括号将过滤器括起来，并且使用的是
有效的比较运算符。有关详细信息，请参阅

要测试受限更多的基本过滤器，请尝试将其设置为基础可分辨名称，以使用户仅检索该用户。

如果使用的是加密连接：

检查证书中 LDAP 服务器的名称是否与用于连接的主机名匹配。

检查是否未对加密服务器连接使用 IPv6 地址。

如果使用的是测试用户，请确保正确键入用户名和密码。

如果使用的是测试用户，请移除用户凭证并测试对象。

通过要从中进行连接的设备上的命令行使用以下语法连接到 LDAP 服务器来测试所使用的查询：

ldapsearch -x -b 'base_distinguished_name'

 

-h LDAPserver_ip_address -p port -v -D 

 

'user_distinguished_name' -W 'base_filter'