Cisco Cisco Firepower Management Center 2000 User Guide
17-7
FireSIGHT 系统用户指南
第 17 章 按照用户控制流量
检索访问受控用户和 LDAP 用户元数据
步骤 8
在
User Name
和
Password
字段中指定要用于验证 LDAP 目录的访问权限的识别用户名和密码。确
认密码。
例如,如果您在连接到某个 OpenLDAP 服务器,该服务器上的用户对象属性为
uid
,且示例公司
安全部门的管理员对象的
NetworkAdmin
的值为
uid
,请键入
uid=NetworkAdmin,ou=security,dc=example,dc=com
。
步骤 9
在
Encryption
中选择加密方法。如果使用加密,可以在
SSL Certificate
中添加 SSL 证书。
证书中的主机名必须与在第 5 步中指定的 LDAP 服务器的主机名相匹配。
步骤 10
在
Timeout
中指定超时持续时间(以秒为单位),超过该时间后,尝试联系无响应 LDAP 服务器的行
为将会回滚为备份连接。
步骤 11
或者,在指定对象的用户感知设置之前,点击
Test
测试连接。
步骤 12
您有两种选择,具体取决于在第 4 步中选择的 LDAP 服务器的类型。
•
如果要连接到 Active Directory 服务器,可启用
User/Group Access Control Parameters
,以指定要
在访问控制中使用的用户。继续执行下一步。
•
如果您在连接任何其他类型的服务器,或者不想执行用户控制,请跳至第 17 步。
步骤 13
点击
Fetch Groups
,以使用提供的 LDAP 参数填充可用组列表。
步骤 14
通过使用左箭头和右箭头按钮包含和排除组,从而指定要在访问控制中使用的用户。
包含某个组即会自动包含该组的所有成员(包括任何子组的成员)。但是,如果要在访问控制规则
中使用子组,必须明确包含要使用的子组。排除某个组将会排除该组的所有成员,即使用户是包含
的组的成员。
中使用子组,必须明确包含要使用的子组。排除某个组将会排除该组的所有成员,即使用户是包含
的组的成员。
步骤 15
在
User Exclusions
中指定任何特定用户排除。
排除用户可防止您将用户作为条件编写访问控制规则。使用逗号分隔多个用户。还可以在此字段
中使用星号 (
中使用星号 (
*
) 作为通配符。
步骤 16
指定您想要查询 LDAP 服务器以获取新用户和组信息的频率。
默认情况下,防御中心每天午夜查询一次服务器:
•
使用
Start At
下拉列表指定希望查询发生的时间。
0
代表午夜,
1
代表凌晨 1 点,等等。
•
使用
Update Interval
下拉列表指定查询服务器的频率(以小时为单位)。
步骤 17
点击
Save
。
如果添加或更改了用户和组访问控制参数,请确认是否要应用所做的更改。对象保存成功,系统
再次显示 Users Policy 页面。
再次显示 Users Policy 页面。
步骤 18
点击您刚刚创建的连接旁的滑块,启用该连接。
如果要启用连接并且连接具有用户和组访问控制参数,请选择是否希望立即查询 LDAP 服务器以
获取用户和组信息。请注意,如果不立即查询 LDAP 服务器,则会在预定时间发生查询。您可以
监控任务队列中任何查询的进度 (
获取用户和组信息。请注意,如果不立即查询 LDAP 服务器,则会在预定时间发生查询。您可以
监控任务队列中任何查询的进度 (
System > Monitoring > Task Status
)。