Cisco Cisco Firepower Management Center 2000 User Guide

17-7

FireSIGHT 系统用户指南 

第 17 章      按照用户控制流量 

  检索访问受控用户和 LDAP 用户元数据    

步骤 8

在 

 和 

 字段中指定要用于验证 LDAP 目录的访问权限的识别用户名和密码。确

认密码。

例如，如果您在连接到某个 OpenLDAP 服务器，该服务器上的用户对象属性为 

uid

，且示例公司

安全部门的管理员对象的 

NetworkAdmin

 的值为 

uid

，请键入

uid=NetworkAdmin,ou=security,dc=example,dc=com

。

步骤 9

在 

 中选择加密方法。如果使用加密，可以在 

 中添加 SSL 证书。

证书中的主机名必须与在第 5 步中指定的 LDAP 服务器的主机名相匹配。

步骤 10

在 

 中指定超时持续时间（以秒为单位），超过该时间后，尝试联系无响应 LDAP 服务器的行

为将会回滚为备份连接。

步骤 11

或者，在指定对象的用户感知设置之前，点击 

 测试连接。

步骤 12

您有两种选择，具体取决于在第 4 步中选择的 LDAP 服务器的类型。

如果要连接到 Active Directory 服务器，可启用 

，以指定要

在访问控制中使用的用户。继续执行下一步。

如果您在连接任何其他类型的服务器，或者不想执行用户控制，请跳至第 17 步。

步骤 13

点击 

，以使用提供的 LDAP 参数填充可用组列表。

步骤 14

通过使用左箭头和右箭头按钮包含和排除组，从而指定要在访问控制中使用的用户。

包含某个组即会自动包含该组的所有成员（包括任何子组的成员）。但是，如果要在访问控制规则
中使用子组，必须明确包含要使用的子组。排除某个组将会排除该组的所有成员，即使用户是包含
的组的成员。

步骤 15

在 

 中指定任何特定用户排除。

排除用户可防止您将用户作为条件编写访问控制规则。使用逗号分隔多个用户。还可以在此字段
中使用星号 (

*

) 作为通配符。

步骤 16

指定您想要查询 LDAP 服务器以获取新用户和组信息的频率。

默认情况下，防御中心每天午夜查询一次服务器：

使用 

 下拉列表指定希望查询发生的时间。

 代表午夜，

 代表凌晨 1 点，等等。

使用 

 下拉列表指定查询服务器的频率（以小时为单位）。

步骤 17

点击 

。

如果添加或更改了用户和组访问控制参数，请确认是否要应用所做的更改。对象保存成功，系统
再次显示 Users Policy 页面。

步骤 18

点击您刚刚创建的连接旁的滑块，启用该连接。

如果要启用连接并且连接具有用户和组访问控制参数，请选择是否希望立即查询 LDAP 服务器以
获取用户和组信息。请注意，如果不立即查询 LDAP 服务器，则会在预定时间发生查询。您可以
监控任务队列中任何查询的进度 (

)。