识别身份验证对象配置的Active Directory LDAP对象属性

简介

本文档介绍如何标识Active Directory(AD)LDAP对象属性以在上配置身份验证对象以进行外部身份验证。

确定LDAP对象属性

在FireSIGHT管理中心上配置身份验证对象以进行外部身份验证之前，需要确定用户和安全组的AD LDAP属性，外部身份验证才能按预期工作。为此，我们可以使用Microsoft提供的基于GUI的LDAP客户端、Ldp.exe或任何第三方LDAP浏览器。在本文中，我们将使用ldp.exe本地或远程连接、绑定和浏览AD服务器并确定属性。

步骤 1：启动ldp.exe应用。转到Start(开始)菜单，然后单击Run(运行)。键入ldp.exe，然后单击OK按钮。

注意：在Windows Server 2008上，默认情况下安装ldp.exe。对于Windows Server 2003或从Windows客户端计算机进行远程连接，请从Microsoft站点下载support.cab或support.msi文件。解压缩.cab文件或安装.msi文件并运行ldp.exe。

步骤 2：连接到服务器。选择Connection，然后单击Connect。

• 要从本地计算机连接到AD域控制器(DC)，请输入AD服务器的主机名或IP地址。
• 要本地连接到AD DC，请输入localhost作为Server。

以下截图显示从Windows主机进行的远程连接：

以下截图显示了AD DC上的本地连接：

步骤3.绑定到AD DC。转至Connection > Bind。输入User、Password和Domain。Click OK.

当连接尝试成功时，您会看到如下输出：

此外，ldp.exe左窗格中的输出将显示与AD DC的成功绑定。

步骤 4：浏览目录树。单击View > Tree，从下拉列表中选择BaseDN域，然后单击OK。此基础DN是在身份验证对象上使用的DN。

步骤 5：在ldp.exe的左窗格中，双击AD对象以将容器向下展开到枝叶对象的级别，然后导航到用户所属的AD安全组。找到组后，右键单击该组，然后选择Copy DN。

如果您不确定组位于哪个组织单位(OU)，请右键点击基础DN或域，然后选择搜索。出现提示时，输入cn=<group name>作为过滤器，Subtree作为范围。获得结果后，即可复制组的DN属性。也可以执行通配符搜索，例如cn=*admin*。

身份验证对象中的基本过滤器应如下所示：

• 单个组：
  
  基本过滤器：(memberOf=<Security_group_DN>)

• 多个组：
  
  基本过滤器：(|(memberOf=<group1_DN>)(memberOf=<group2_DN>)(memberOf=<groupN_DN))

在以下示例中，请注意，AD用户的memberOf属性与基本过滤器匹配。memberOf属性前面的数字表示用户所属的组数。用户仅是一个安全组secadmins的成员。

步骤 6：导航到要在身份验证对象中用作模拟帐户的用户帐户，然后右键单击该用户帐户以复制DN。



将此DN用于身份验证对象中的用户名。例如，

用户名：CN=sfdc1,CN=服务帐户，DC=虚拟实验室，DC=本地

与组搜索类似，也可以使用CN或特定属性(如name=sfdc1)搜索用户。