Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
63-12
FireSIGHT 系统用户指南
第 63 章 管理系统策略
配置系统策略
注
如果要在设备上同时启用外壳访问和 CAC 身份验证,必须分别创建身份验证对象并在系统策略
中分别启用它们。
中分别启用它们。
完成自定义身份验证对象后,必须在防御中心的某一系统策略中启用外部身份验证,然后将该策略推
送到受管设备。将策略应用于某一设备后,符合条件的通过外部身份验证的用户可以登录到该设备。
要更改外部身份验证设置,您必须修改防御中心上的系统策略,然后将该策略再次应用于设备。要在
受管设备上禁用身份验证,您可以在防御中心上的系统策略中将其禁用并将该策略推送到该设备。
送到受管设备。将策略应用于某一设备后,符合条件的通过外部身份验证的用户可以登录到该设备。
要更改外部身份验证设置,您必须修改防御中心上的系统策略,然后将该策略再次应用于设备。要在
受管设备上禁用身份验证,您可以在防御中心上的系统策略中将其禁用并将该策略推送到该设备。
请注意,只能在物理和虚拟防御中心及受管设备上启用外部身份验证。在用于 Blue Coat X-系列
的思科 NGIPS 上,不支持通过应用系统策略的方式启用外部身份验证。
的思科 NGIPS 上,不支持通过应用系统策略的方式启用外部身份验证。
如果采用内部身份验证的用户尝试登录,设备首先会检查该用户是否存在于本地用户数据库中。
如果该用户存在,设备会参照本地数据库检查用户名和密码。如果找到匹配项,用户可成功登
录。但是,如果登录失败且外部身份验证已启用,则设备会按照系统策略中显示的身份验证顺
序,对照各个外部身份验证服务器来检查用户。如果用户名和密码与外部服务器中的结果相匹
配,设备会将用户更改为带有针对该身份验证对象的默认权限的用户。
如果该用户存在,设备会参照本地数据库检查用户名和密码。如果找到匹配项,用户可成功登
录。但是,如果登录失败且外部身份验证已启用,则设备会按照系统策略中显示的身份验证顺
序,对照各个外部身份验证服务器来检查用户。如果用户名和密码与外部服务器中的结果相匹
配,设备会将用户更改为带有针对该身份验证对象的默认权限的用户。
如果外部用户尝试登录,设备会参照外部身份验证服务器检查用户名和密码。如果找到匹配项,
用户可成功登录。如果登录失败,则用户登录尝试会被拒绝。外部用户无法参照本地数据库中的
用户列表进行身份验证。如果用户是新的外部用户,则本地数据库中会创建一个外部用户帐户,
该帐户具有来自外部身份验证对象的默认权限。
用户可成功登录。如果登录失败,则用户登录尝试会被拒绝。外部用户无法参照本地数据库中的
用户列表进行身份验证。如果用户是新的外部用户,则本地数据库中会创建一个外部用户帐户,
该帐户具有来自外部身份验证对象的默认权限。
要在外部服务器上为用户启用身份验证,请执行以下操作:
访问:管理员
步骤 1
选择
System > Local > System Policy
。
系统将显示 System Policy 页面。
步骤 2
您有以下选项:
•
要修改现有系统策略中的外部身份验证设置,请点击系统策略旁的编辑图标 (
)。
•
要将外部身份验证设置配置为新系统策略的一部分,请点击
Create Policy
。
如
Save
。
无论执行哪一种操作,系统都会显示 Access List 页面。
步骤 3
点击
External Authentication
。
系统将显示 External Authentication 页面。
步骤 4
从
Status
下拉列表中,选择
Enabled
。
步骤 5
从
Default User Role
下拉列表中,选择用户角色以确定要授予进行了外部身份验证的用户的默认权限。
提示
按住 Ctrl 键可同时选择多个默认角色。请注意,尽管可以同时选择“安全分析师”角色及其对应
的“安全分析师 (只读)”角色,但只有“安全分析师”角色会得到应用。
的“安全分析师 (只读)”角色,但只有“安全分析师”角色会得到应用。
步骤 6
如果还想用外部服务器对外壳访问帐户进行身份验证,请从
Shell Authentication
下拉列表中选择
Enabled
。
步骤 7
如果要启用 CAC 身份验证和授权,请从
CAC Authentication
下拉列表中选择可用的 CAC 身份验证
对象。
有关配置 CAC 身份验证和授权的完整步骤,请参阅
。