Identificare gli attributi dell'oggetto LDAP di Active Directory per la configurazione dell'oggetto di autenticazione

Opzioni per il download

PDF (893.7 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (314.8 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (327.0 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:19 dicembre 2014

ID documento:118721

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Identifica attributi oggetto LDAP

Introduzione

In questo documento viene descritto come identificare gli attributi dell'oggetto LDAP di Active Directory (AD) per configurare l'oggetto di autenticazione in per l'autenticazione esterna.

Identifica attributi oggetto LDAP

Prima di configurare un oggetto di autenticazione su un centro di gestione FireSIGHT per l'autenticazione esterna, l'identificazione degli attributi LDAP di AD di utenti e gruppi di sicurezza è necessaria affinché l'autenticazione esterna funzioni come previsto. A tale scopo, è possibile utilizzare il client LDAP basato su GUI fornito da Microsoft, Ldp.exe o qualsiasi browser LDAP di terze parti. In questo articolo verrà utilizzato ldp.exe per connettersi, associare e sfogliare il server AD in locale o in remoto e identificare gli attributi.

Passaggio 1: Avviare l'applicazione ldp.exe. Andare al menu Start e fare clic su Esegui. Digitare ldp.exe e fare clic sul pulsante OK.

Nota: In Windows Server 2008, ldp.exe è installato per impostazione predefinita. Per Windows Server 2003 o per la connessione remota dal computer client Windows, scaricare il file support.cab o support.msi dal sito Microsoft. Estrarre il file .cab o installare il file .msi ed eseguire ldp.exe.

Passaggio 2: Connettersi al server. Selezionare Connessione e fare clic su Connetti.

Per connettersi a un controller di dominio Active Directory da un computer locale, immettere il nome host o l'indirizzo IP del server Active Directory.
Per connettersi localmente a un controller di dominio Active Directory, immettere localhost come Server.

Nello screenshot seguente viene illustrata la connessione remota da un host Windows:

Nello screenshot seguente viene illustrata la connessione locale in un controller di dominio Active Directory:

Passaggio 3. Eseguire il binding al controller di dominio Active Directory. Selezionare Connessione > Binding. Immettere User, Password e Domain. Fare clic su OK.

Quando un tentativo di connessione riesce, viene visualizzato un output simile al seguente:

Inoltre, l'output nel riquadro sinistro di ldp.exe mostrerà il binding al controller di dominio Active Directory.

Passaggio 4: Esplorare la struttura delle directory. Fare clic su Visualizza > Albero , selezionare il dominio BaseDN dall'elenco a discesa e fare clic su OK. Questo DN di base è il DN utilizzato nell'oggetto di autenticazione.

Passaggio 5: Nel riquadro sinistro di ldp.exe, fare doppio clic sugli oggetti AD per espandere i contenitori fino al livello degli oggetti foglia e passare al gruppo di sicurezza AD di cui gli utenti sono membri. Una volta trovato il gruppo, fare clic con il pulsante destro del mouse sul gruppo e selezionare Copia DN.

Se non si è certi dell'unità organizzativa in cui si trova il gruppo, fare clic con il pulsante destro del mouse sul DN di base o sul Dominio e selezionare Cerca. Quando richiesto, immettere cn=<nome gruppo> come filtro e Subtree come ambito. Una volta ottenuto il risultato, è possibile copiare l'attributo DN del gruppo. È inoltre possibile eseguire una ricerca con caratteri jolly, ad esempio cn=*admin*.

Il filtro di base nell'oggetto di autenticazione deve essere il seguente:

Gruppo singolo:

Filtro di base: (memberOf=<DN_gruppo_protezione>)

Più gruppi:

Filtro di base: (|(memberOf=<DN_gruppo1>)(memberOf=<DN_gruppo2>)(memberOf=<DN_gruppo))

Nell'esempio seguente si noti che gli utenti di Active Directory dispongono dell'attributo memberOf corrispondente al filtro di base. Il numero che precede l'attributo memberOf indica il numero di gruppi di cui l'utente è membro. L'utente è membro di un solo gruppo di sicurezza, secadmins.

Passaggio 6: Passare agli account utente che si desidera utilizzare come account di rappresentazione nell'oggetto di autenticazione e fare clic con il pulsante destro del mouse sull'account utente per copiare il DN.

Utilizzare questo DN per il nome utente nell'oggetto di autenticazione. Ad esempio,

Nome utente: CN=sfdc1,CN=Account servizio,DC=VirtualLab,DC=locale

Analogamente alla ricerca di gruppi, è anche possibile eseguire ricerche in un utente con CN o con un attributo specifico, ad esempio name=sfdc1.