Безопасность : Cisco Firepower Management Center

Определите атрибуты объектов LDAP Active Directory для опознавательной конфигурации объекта

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как определить Атрибуты объектов LDAP Active Directory (AD) для настройки Опознавательного Объекта на для внешней проверки подлинности.

Внесенный Нэзмулом Рэджибом и Биньямом Демисси, специалистами службы технической поддержки Cisco.

Определите атрибуты объектов LDAP

До настройки Опознавательного Объекта на Центре управления FireSIGHT для внешней проверки подлинности, определяя AD атрибуты LDAP Пользователей и Групп безопасности было бы необходимо для внешней проверки подлинности для работы, как предназначено. Для этого мы можем использовать предоставленный GUI Microsoft, базировал клиента LDAP, Ldp.exe или любой сторонний браузер LDAP. В этой статье мы будем использовать ldp.exe для локально или удаленно подключать, связывать, и просматривать AD сервер и определять атрибуты.

Шаг 1: Запустите ldp.exe приложение. Перейдите к Меню Пуск и нажмите Run. Введите ldp.exe и поразите кнопку OK.

Примечание: На Windows Server 2008, ldp.exe установлен по умолчанию. Для Windows Server 2003 или для удаленного соединения от компьютера Windows - клиента, загрузите support.cab или support.msi файл от сайта Microsoft. Извлеките .cab файл или установите .msi файл и выполните ldp.exe.

Шаг 2 ---- -------------------------------- --------- : Соединитесь с сервером. Выберите Connection и нажмите Connect.

  • Для соединения с AD Контроллером домена (DC) от локального компьютера введите имя хоста или IP-адрес AD сервера.
  • Для соединения с AD DC локально введите локальный узел как Сервер.

Придерживающийся снимок экрана показывает удаленное соединение от хоста Windows:

Придерживающийся снимок экрана показывает подключение по локальной сети на AD DC:

Шаг 3. Свяжите с AD DC. Перейдите к Соединению>, Связывают. Введите Пользователя, Пароль и Домен. Нажмите кнопку ОК.



Когда попытка подключения будет succesful, вы будете видеть выходные данные как ниже:


Кроме того, выходные данные на левой панели ldp.exe покажут успешный, связывают с AD DC.


 

Шаг 4. : Просмотрите Дерево каталогов. Нажмите View> Tree, выберите доменный BaseDN из выпадающего списка и нажмите OK. Этот Основной DN является DN, который используется на Опознавательном Объекте.

Шаг 5: На левой панели ldp.exe, двойной щелчок на AD объектах, чтобы развернуть контейнеры вниз до уровня объектов листа и перейти к AD Группе безопасности пользователи являются участником. Как только вы находите группу, щелкните правой кнопкой по группе и затем выберите Copy DN.

Если вы не уверены, в котором Подразделении (OU) расположена группа, щелкните правой кнопкой по Основному DN или Домену и выберите Search. Когда предложено, введите cn = <имя группы> как фильтр и Поддерево как область. Как только вы получаете результат, можно тогда скопировать атрибут DN группы. Также возможно выполнить поиск подстановочного знака, такой как cn =*admin*.


 



Ядро Просачивается, Опознавательный Объект должен быть как указано ниже:

  • Одиночная группа:

    Основной фильтр: (memberOf = <Security_group_DN>)
  • Множественные группы:

    Основной фильтр: (| (memberOf = <group1_DN>) (memberOf = <group2_DN>) (memberOf = <groupN_DN))

В следующем примере обратите внимание, что у AD пользователей есть атрибут memberOf, совпадающий с Основным Фильтром. Количество, предшествующее memberOf атрибут, указывает на количество групп, которых пользователь является участником. Пользователь является участником только одной группы безопасности, secadmins.



Шаг 6: Перейдите к учетным записям пользователя, которые требуется использовать в качестве учетной записи олицетворения в Опознавательном Объекте и щелчка правой кнопкой по учетной записи пользователя для Копирования DN.



Используйте этот DN для Имени пользователя в Опознавательном Объекте. Например: ,

Username: CN=sfdc1, учетные записи CN=Service, DC=VirtualLab, DC=local

Подобный поиску группы, также возможно искать пользователя с CN или определенным атрибутом, таким как name=sfdc1.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.