Identifique atributos de objeto do diretório ativo LDAP para a configuração do objeto da autenticação

Introdução

Este documento descreve como identificar atributos de objeto do diretório ativo (AD) LDAP para configurar o objeto da autenticação no para a autenticação externa.

Identifique atributos de objeto LDAP

Antes de configurar um objeto da autenticação em um centro de gerenciamento de FireSIGHT para a autenticação externa, identificar os atributos AD LDAP dos usuários e dos grupos de segurança seria necessária para que a autenticação externa trabalhe como pretendida. Para fazer assim, nós podemos usar Microsoft fornecemos o cliente de LDAP baseado GUI, o Ldp.exe, ou todo o navegador da terceira LDAP. Neste artigo, nós usaremos ldp.exeto localmente ou remotamente para conectar, ligar, e consultar o server AD e identificaremos os atributos.

Passo 1: Comece o aplicativo ldp.exe. Vá ao Startmenu e clique a corrida. Datilografe ldp.exeand batem o botão OK.

Nota: Em Windows Server 2008, ldp.exe é instalado à revelia. Para Windows Server 2003 ou para a conexão remota do computador do cliente do Windows, transfira por favor o arquivo support.cabor support.msi do local de Microsoft. Extraia o fileor .cab instalam a corrida ldp.exe do fileand .msi.

Passo 2: Conecte ao server. Selecione a conexão e o clique conecta.

• Para conectar a um controlador de domínio AD (DC) de um computador local, incorpore o hostname ou o endereço IP de Um ou Mais Servidores Cisco ICM NT do server AD.
• Para conectar localmente a um AD DC, entre no host local como o server.

A seguinte conexão remota das mostras do tiro de tela de um host de Windows:

O seguinte tiro de tela mostra a conexão local em um AD DC:

Etapa 3. Ligamento ao AD DC. Vá à conexão > ao ligamento. Incorpore o usuário, a senha, e o domínio. Clique em OK.

Quando uma tentativa de conexão é bem sucedida, você verá uma saída como abaixo:

Também, a saída no painel esquerdo de ldp.exe mostrará o ligamento bem sucedido ao AD DC.

Passo 4: Consulte a árvore de diretório. Clique a vista > a árvore, selecione o domínio BaseDN da lista suspensa, e clique a APROVAÇÃO. Esta base DN é o DN que é usado no objeto da autenticação.

Passo 5: No painel esquerdo de ldp.exe, fazer duplo clique nos objetos AD para expandir para baixo os recipientes ao nível de objetos da folha e para navegar ao grupo de segurança AD os usuários são membro de. Uma vez que você encontra o grupo, clicar com o botão direito no grupo e selecione então CopyDN.

Se você não é certo em que unidade organizacional (OU) o grupo está encontrado, clicar com o botão direito na base DN ou no domínio e selecione a busca. Quando alertado, entre no name> do cn=<group como o filtro e no Subtree como o espaço. Uma vez que você obtém o resultado, você pode então copiar o atributo DN do grupo. É igualmente possível executar uma busca do convite tal como o cn=*admin*.

O filtro baixo no objeto da autenticação deve ser como abaixo:

• Único grupo:
  
  Filtro baixo: (memberOf=<Security_group_DN>)

• Grupos múltiplos:
  
  Filtro baixo: (|(memberOf=<group1_DN>)(memberOf=<group2_DN>)(memberOf=<groupN_DN))

No exemplo seguinte, note que os usuários AD têm o atributo do memberOf que combina o filtro baixo. O atributo precedente do memberOf do número indica que o número de grupos o usuário é um membro de. O usuário é um membro de somente um grupo de segurança, secadmins.

Passo 6: Navegue às contas de usuário que você gostaria de se usar como a conta da personificação no objeto da autenticação, e clicar com o botão direito na conta de usuário para copiar o DN.



Use este DN para o nome de usuário no objeto da autenticação. Por exemplo,

Nome de usuário: Contas CN=sfdc1,CN=Service, DC=VirtualLab, DC=local

Similar para agrupar a busca, é igualmente possível procurar um usuário com CN ou atributo específico tal como name=sfdc1.