本文档介绍如何标识Active Directory(AD)LDAP对象属性以在上配置身份验证对象以进行外部身份验证。
在FireSIGHT管理中心上配置身份验证对象以进行外部身份验证之前,需要确定用户和安全组的AD LDAP属性,外部身份验证才能按预期工作。为此,我们可以使用Microsoft提供的基于GUI的LDAP客户端、Ldp.exe或任何第三方LDAP浏览器。在本文中,我们将使用ldp.exe本地或远程连接、绑定和浏览AD服务器并确定属性。
步骤 1:启动ldp.exe应用。转到Start(开始)菜单,然后单击Run(运行)。键入ldp.exe,然后单击OK按钮。
步骤 2:连接到服务器。选择Connection,然后单击Connect。
以下截图显示从Windows主机进行的远程连接:
以下截图显示了AD DC上的本地连接:
步骤3.绑定到AD DC。转至Connection > Bind。输入User、Password和Domain。Click OK.
当连接尝试成功时,您会看到如下输出:
此外,ldp.exe左窗格中的输出将显示与AD DC的成功绑定。
步骤 4:浏览目录树。单击View > Tree,从下拉列表中选择BaseDN域,然后单击OK。此基础DN是在身份验证对象上使用的DN。
步骤 5:在ldp.exe的左窗格中,双击AD对象以将容器向下展开到枝叶对象的级别,然后导航到用户所属的AD安全组。找到组后,右键单击该组,然后选择Copy DN。
如果您不确定组位于哪个组织单位(OU),请右键点击基础DN或域,然后选择搜索。出现提示时,输入cn=<group name>作为过滤器,Subtree作为范围。获得结果后,即可复制组的DN属性。也可以执行通配符搜索,例如cn=*admin*。
身份验证对象中的基本过滤器应如下所示:
在以下示例中,请注意,AD用户的memberOf属性与基本过滤器匹配。memberOf属性前面的数字表示用户所属的组数。用户仅是一个安全组secadmins的成员。
步骤 6:导航到要在身份验证对象中用作模拟帐户的用户帐户,然后右键单击该用户帐户以复制DN。
将此DN用于身份验证对象中的用户名。例如,
用户名:CN=sfdc1,CN=服务帐户,DC=虚拟实验室,DC=本地
与组搜索类似,也可以使用CN或特定属性(如name=sfdc1)搜索用户。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
19-Dec-2014
|
初始版本 |