Cisco Cisco Firepower Management Center 2000 User Guide

61-18

FireSIGHT 系统用户指南

第 61 章      管理用户       

  管理身份验证对象

User Name/ 
Password

允许本地设备访问用户对象。为对于要检索的身份验证对象具有适
当权限的用户提供用户凭证。所指定用户的可分辨名称对于 LDAP 
服务器的目录信息树必须唯一。请注意，与 Microsoft Active 
Directory Server 关联的服务器用户名不能以字符 

$

 结尾。

Example 公司的 Security 部门中 

admin

 用户的用户名可能为 

cn=admin,

 

ou=security,

 

dc=example,dc=com

加密

确定通信是否加密及如何加密。可以选择不加密、传输层安全 
(TLS) 或安全套接字层 (SSL) 加密。请注意，如果在通过 TLS 或 
SSL 进行连接时使用证书进行身份验证，则证书中 LDAP 服务器的
名称必须与用于连接的名称匹配。

如果在指定端口后更改加密方法，则端口重置为所选服务器类型的
默认值。

如果在外部身份验证设置中输
入 

10.10.10.250

 并在证书中输

入 

computer1.

 

example.com

，则连接失败，即

使 

computer1.

 

example.com

 的 IP 地址为 

10.10.10.250

 也如此。将外部

身份验证设置中的服务器名称
更改为 

computer1.

 

example.com

 可成功连接。

SSL Certificate 
Upload Path

指示本地计算机上要用于加密的证书的路径。

c:/server.crt

User Name 
Template

通过将字符串转换字符 (

%s

) 映射到用户的外壳访问属性值，指示应

如何格式化在登录时输入的用户名。用户名模板是用于身份验证的
可分辨名称的格式。当用户将用户名输入到登录页面中时，设备会
将名称替换为字符串转换字符，并使用产生的可分辨名称搜索用户
凭证。

如果要将此对象用于 CAC 身份验证和授权，

必须

输入与 

 值对应的值。有关详细信息，请参阅

。

%s@security.example.com

、

%s@mail.com

、 

%s@mil

、

 % s@smil.mil

、

超时

为对主服务器进行的连接尝试设置超时，以使连接滚动转移到备份
服务器。如果在经过此字段中指示的秒数 （或 LDAP 服务器上的
超时）后主身份验证服务器没有响应，则设备将查询备份服务器。

但是，如果 LDAP 是在主 LDAP 服务器的端口上运行，并且因某种
原因而拒绝服务请求，则不会故障转移到备份服务器。

如果主服务器已禁用 LDAP，则
设备将查询备份服务器。

UI Access 
Attribute

告知本地设备与特定属性的值而不是用户可分辨名称值匹配。如果
属性的值是 FireSIGHT 系统 Web 界面的有效用户名，则可以使用
任何属性。如果其中一个对象具有匹配的用户名和密码，表明用户
登录请求已进行身份验证。

选择服务器类型并设置默认值将会使用通常适合于该类型的服务器
的值预填充 

。

如果将此字段留空，则本地设备会检查 LDAP 服务器上各用户记录
的用户可分辨名称值，以查看其是否与用户名匹配。

如果要将此对象用于 CAC 身份验证和授权，

必须

输入与 

 值对应的值。有关详细信息，请参阅

。

sAMAccountName、

userPrincipalName、

mail

表 

特定参数 （续）

环境

说明

示例