Cisco Cisco Firepower Management Center 2000 User Guide

61-20

FireSIGHT 系统用户指南

第 61 章      管理用户       

  管理身份验证对象

注

请注意，如果在指定端口后更改加密方法，则会将端口重置为该方法的默认值。对于 None 或 
TLS，端口使用默认值 389。如果选择 SSL 加密，则端口使用默认值 636。

步骤 7

如果选择 TLS 或 SSL 加密并要使用证书进行身份验证，请点击 

 以浏览至有效 TLS 或 SSL 

证书的位置，或者在 

 字段中键入证书的路径。

系统将显示一条消息，指示证书上传成功。

注

如果之前已上传证书并要将其替换，请上传新证书并将系统策略重新应用到设备来复制转移新证书。

步骤 8

或者，在 

 字段中，键入用于从 

 中找到的值确定用户名的字符串

转换字符 (

%s

)。

例如，要通过连接到外壳访问属性为 

uid

 的 OpenLDAP 服务器来对 example 公司的 Security 部门

中工作的所有用户进行身份验证，可能会在 

 字段中键入 

uid=%s,ou=security,dc=example,dc=com

。对于 Microsoft Active Directory Server，可以键入 

%s@security.example.com。

如果要使用 CAC 凭证进行身份验证和授权，必须在 

 字段中输入值。有关详细信

息，请参阅

步骤 9

或者，在 

 字段中，键入在滚动转移到备份连接之前应经过的秒数。

步骤 10

或者，要根据属性而不是 Base DN 和 Base Filter 检索用户，有两个选项：

点击 

 以检索可用属性的列表并选择相应的属性。

在 

 字段中键入属性。

例如，在 Microsoft Active Directory Server 上，可能要使用 UI Access Attribute 检索用户，因为在 
Active Directory Server 用户对象上可能没有 

uid

 属性。相反，可以通过在 

 字段中

键入 

userPrincipalName

 来搜索 

userPrincipalName

 属性。

如果要使用 CAC 凭证进行身份验证和授权，必须在 

 字段中输入值。有关详细

信息，请参阅

。

步骤 11

或者，要检索外壳访问用户，请在 

 字段中键入要按其进行过滤的属性。

例如，在 Microsoft Active Directory Server 上，通过在 

 字段中键入 

sAMAccountName

 来使用 

sAMAccountName

 外壳访问属性检索外壳访问用户。

注

请注意，不能在同一身份验证对象中配置 CAC 身份验证和授权及外壳访问。选择 

 复选框会

禁用页面上的外壳访问配置选项。相反，创建单独的身份验证对象并在系统策略中分别将其启
用。有关详细信息，请参阅

步骤 12

对于下一步，您有三种选择：

如果要根据 LDAP 组成员资格配置用户默认角色，请进入下一节

如果不是使用 LDAP 组进行身份验证但要配置外壳访问，请进入下一节

。

如果不是使用 LDAP 组进行身份验证且不希望配置外壳访问，请进入下一节