Segurança : Cisco Firepower Management Center

Identifique atributos de objeto do diretório ativo LDAP para a configuração do objeto da autenticação

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como identificar atributos de objeto do diretório ativo (AD) LDAP para configurar o objeto da autenticação no para a autenticação externa.

Contribuído por Nazmul Rajib e por Binyam Demissie, engenheiros de TAC da Cisco.

Identifique atributos de objeto LDAP

Antes de configurar um objeto da autenticação em um centro de gerenciamento de FireSIGHT para a autenticação externa, identificar os atributos AD LDAP dos usuários e dos grupos de segurança seria necessária para que a autenticação externa trabalhe como pretendida. Para fazer assim, nós podemos usar Microsoft fornecemos o cliente de LDAP baseado GUI, o Ldp.exe, ou todo o navegador da terceira LDAP. Neste artigo, nós usaremos ldp.exeto localmente ou remotamente para conectar, ligar, e consultar o server AD e identificaremos os atributos.

Passo 1: Comece o aplicativo ldp.exe. Vá ao Startmenu e clique a corrida. Datilografe ldp.exeand batem o botão OK.

Nota: Em Windows Server 2008, ldp.exe é instalado à revelia. Para Windows Server 2003 ou para a conexão remota do computador do cliente do Windows, transfira por favor o arquivo support.cabor support.msi do local de Microsoft. Extraia o fileor .cab instalam a corrida ldp.exe do fileand .msi.

Passo 2: Conecte ao server. Selecione a conexão e o clique conecta.

  • Para conectar a um controlador de domínio AD (DC) de um computador local, incorpore o hostname ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do server AD.
  • Para conectar localmente a um AD DC, entre no host local como o server.

A seguinte conexão remota das mostras do tiro de tela de um host de Windows:

O seguinte tiro de tela mostra a conexão local em um AD DC:

Etapa 3. Ligamento ao AD DC. Vá à conexão > ao ligamento. Incorpore o usuário, a senha, e o domínio. Clique em OK.



Quando uma tentativa de conexão é bem sucedida, você verá uma saída como abaixo:


Também, a saída no painel esquerdo de ldp.exe mostrará o ligamento bem sucedido ao AD DC.


 

Passo 4: Consulte a árvore de diretório. Clique a vista > a árvore, selecione o domínio BaseDN da lista suspensa, e clique a APROVAÇÃO. Esta base DN é o DN que é usado no objeto da autenticação.

Passo 5: No painel esquerdo de ldp.exe, fazer duplo clique nos objetos AD para expandir para baixo os recipientes ao nível de objetos da folha e para navegar ao grupo de segurança AD os usuários são membro de. Uma vez que você encontra o grupo, clicar com o botão direito no grupo e selecione então CopyDN.

Se você não é certo em que unidade organizacional (OU) o grupo está encontrado, clicar com o botão direito na base DN ou no domínio e selecione a busca. Quando alertado, entre no name> do cn=<group como o filtro e no Subtree como o espaço. Uma vez que você obtém o resultado, você pode então copiar o atributo DN do grupo. É igualmente possível executar uma busca do convite tal como o cn=*admin*.


 



O filtro baixo no objeto da autenticação deve ser como abaixo:

  • Único grupo:

    Filtro baixo: (memberOf=<Security_group_DN>)
  • Grupos múltiplos:

    Filtro baixo: (|(memberOf=<group1_DN>)(memberOf=<group2_DN>)(memberOf=<groupN_DN))

No exemplo seguinte, note que os usuários AD têm o atributo do memberOf que combina o filtro baixo. O atributo precedente do memberOf do número indica que o número de grupos o usuário é um membro de. O usuário é um membro de somente um grupo de segurança, secadmins.



Passo 6: Navegue às contas de usuário que você gostaria de se usar como a conta da personificação no objeto da autenticação, e clicar com o botão direito na conta de usuário para copiar o DN.



Use este DN para o nome de usuário no objeto da autenticação. Por exemplo,

Nome de usuário: Contas CN=sfdc1,CN=Service, DC=VirtualLab, DC=local

Similar para agrupar a busca, é igualmente possível procurar um usuário com CN ou atributo específico tal como name=sfdc1.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118721