安全 : Cisco Firepower Management Center

识别活动目录LDAP验证对象配置的对象属性

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何识别激活目录(AD) LDAP对象属性配置在的验证对象外部验证的。

贡献用Nazmul Rajib和Binyam Demissie, Cisco TAC工程师。

识别LDAP对象属性

在配置在一个FireSIGHT管理中心的一个验证对象之前外部验证的,识别用户和安全组AD LDAP属性是必要为了外部验证能工作按照计划。要执行如此,我们能使用Microsoft提供了GUI基于LDAP客户端、Ldp.exe,或者所有第三方LDAP浏览器。在此条款,我们将使用ldp.exeto连接,绑定,并且本地或远程浏览AD服务器并且识别属性。

步骤 1:启动ldp.exe应用程序。去Startmenu并且点击运行。键入ldp.exeand按下了OK按钮。

注意:默认情况下在Windows服务器上2008年, ldp.exe安装。对于远程连接的Windows服务器2003年或从Windows客户端计算机,请下载Microsoft站点的support.cabor support.msi文件。解压缩.msi fileand运行ldp.exe的.cab fileor安装。

步骤 2:对服务器的连接。选择连接并且点击连接

  • 要连接到AD域控制器(DC)从本地计算机,请输入AD服务器的主机名或IP地址。
  • 要连接到AD DC本地,请进入localhost作为服务器

以下屏幕画面表示从Windows主机的远程连接:

以下屏幕画面表示在AD DC:的本地连接

步骤3.对AD DC的捆绑。去连接>捆绑。输入用户密码域。单击 Ok



当连接尝试是成功的,您将看到一输出类似如下:


并且,在ldp.exe左窗格的输出将显示成功的捆绑对AD DC。


 

步骤 4:浏览目录树。点击视图>树,选择从下拉列表的域BaseDN,并且点击OK键。此基础DN是在验证对象使用的DN。

步骤 5:ldp.exe上左窗格在展开容器下来对级别分支对象和导航的AD对象的双击对AD安全组用户是成员。一旦寻找组,请用鼠标右键单击在组然后选择CopyDN

如果不是肯定的在哪组织单位(OU)组查找,请用鼠标右键单击在基础DN或域并且选择搜索。当提示,请进入cn=<group name>作为过滤器和子树作为范围。一旦取得结果,您能然后复制组的DN属性。执行一通配符搜索例如cn=*admin*也是可能的。


 



在验证对象的基本过滤器应该是作为如下:

  • 组:

    基本过滤器:(memberOf=<Security_group_DN>)
  • 多个组:

    基本过滤器:(|(memberOf=<group1_DN>)(memberOf=<group2_DN>)(memberOf=<groupN_DN))

在以下示例中,请注意有memberOf属性匹配基本过滤器的AD用户。编号之前的memberOf属性指示组数量用户是成员。用户只是一个安全组的成员, secadmins



步骤 6:导航对您希望使用作为模拟帐户在验证对象的用户帐户,并且用鼠标右键单击在用户帐户复制DN



请使用此DN用户名在验证对象。例如,

用户名:CN=sfdc1,CN=Service帐户, DC=VirtualLab, DC=local

类似分组搜索,搜索有CN的一个用户或特定属性例如name=sfdc1也是可能的。



Document ID: 118721