Cisco Cisco Firepower Management Center 2000 User Guide
17-5
FireSIGHT 系统用户指南
第 17 章 按照用户控制流量
检索访问受控用户和 LDAP 用户元数据
注
即使您从 LDAP 服务器移除系统检测到的用户,防御中心也不会从其用户数据库中移除这些用户;
您必须手动删除。但是,在防御中心下一次更新访问受控用户列表时, LDAP 更改会反映在访问控
制规则中。
您必须手动删除。但是,在防御中心下一次更新访问受控用户列表时, LDAP 更改会反映在访问控
制规则中。
下表列出了可与受监控用户关联的 LDAP 元数据。请注意,要成功从 LDAP 服务器检索用户元数
据,服务器必须使用表中列出的 LDAP 字段名称。如果在 LDAP 服务器上重命名该字段,防御中
心将无法使用该字段中的信息来填充其数据库。
据,服务器必须使用表中列出的 LDAP 字段名称。如果在 LDAP 服务器上重命名该字段,防御中
心将无法使用该字段中的信息来填充其数据库。
请与您的 LDAP 管理员密切合作,确保 LDAP 服务器配置正确并且您可以连接这些服务器并获取
在创建 LDAP 连接时必须提供的信息。
在创建 LDAP 连接时必须提供的信息。
服务器类型、 IP 地址和端口
必须指定服务器类型、IP 地址或主机名以及用于主 LDAP 服务器的端口(如有需要,还可以指
定用于备份 LDAP 服务器的端口)。要执行用户控制,您必须使用 Microsoft Active Directory
服务器。
定用于备份 LDAP 服务器的端口)。要执行用户控制,您必须使用 Microsoft Active Directory
服务器。
LDAP 特定参数
在防御中心搜索 LDAP 服务器以检索身份验证服务器上的用户信息时,其需要该搜索的起点。
可以通过提供基本识别名称(或
可以通过提供基本识别名称(或
基础 DN)来指定要搜索的命名空间或目录树。通常,基础 DN
具有指示公司领域和运营单位的基础结构。例如,Example 公司的 Security 部门的基础 DN 可
能为
能为
ou=security,dc=example,dc=com
。请注意,识别主服务器之后,可以从该服务器自动检索
可用基础 DN 列表并选择相应的基础 DN。
必须为对于您要检索的用户信息具有适当权限的用户提供用户凭证。请记住,您指定的用户
识别名称对于目录服务器的目录信息树必须是唯一的。
识别名称对于目录服务器的目录信息树必须是唯一的。
还可以为 LDAP 连接指定加密方法。请注意,如果使用证书进行身份验证,证书中 LDAP 服
务器的名称必须与在防御中心网络界面中指定的主机名相匹配。例如,如果在配置 LDAP 连
接时使用
务器的名称必须与在防御中心网络界面中指定的主机名相匹配。例如,如果在配置 LDAP 连
接时使用
10.10.10.250
,而不是证书中的
computer1.example.com
,连接将会失败。
最后,必须指定超时持续时间,超过该时间后,尝试联系无响应 LDAP 服务器的行为将会回
滚为备份连接。
滚为备份连接。
表
17-2
将
LDAP
字段映射到思科字段
元数据
防御中心
Active Directory
Oracle Directory Server
OpenLDAP
LDAP 用户名
用户名
samaccountname
cn
uid
cn
uid
first name
名字
givenname
givenname
givenname
last name
姓氏
sn
sn
sn
email address
电子邮件
邮件
userprincipalname(如果
mail 没有值)
mail 没有值)
邮件
邮件
department
部门
department
distinguishedname(如果
department 没有值)
department 没有值)
department
ou
电话号码
电话
telephonenumber
不适用
telephonenumber