可以使用 Windows Server 2008 和 2012 上的 Microsoft Active Directory (AD)。

请注意以下有关服务器配置的信息：

• 如果要对用户组或组内用户执行用户控制，则必须在目录服务器上配置用户组。如果服务器按照基本对象层次结构组织用户，系统无法执行用户组控制。

• 目录服务器必须使用下表中列出的字段名称，以便系统从该域的服务器中检索用户元数据。

  元数据	Active Directory 字段
  LDAP user name	samaccountname
  first name	givenname
  last name	sn
  email address	mail Userprincipalname（如果 mail 没有值）
  department	department distinguishedname（如果 department 没有值）
  telephone number	telephonenumber

配置目录属性时，需要为用户和组指定公共基准标识名 (DN)。基准在您的目录服务器中定义，并且会因网络而不同。您必须进入正确的基准，身份策略才能正常使用。如果基准错误，则系统无法确定用户名或组名，进而导致基于身份的策略无法使用。

提示	要获得正确的基准，请咨询目录服务器的管理员。

对于 Active Directory，您可以用域管理员的身份登录 Active Directory 服务器，并按照如下所示在命令提示符后输入 dsquery 命令来确定正确的基准：

用户搜索库

输入 dsquery user 命令时加上已知用户名（部分或完整），以确定基准标识名。例如，以下命令使用部分名称“John*”返回以“John.”开头的所有用户的信息。

C:\Users\Administrator>dsquery user -name “John*” 
“CN=John Doe,CN=Users,DC=csc-lab,DC=example,DC=com”

基准 DN 为 “DC=csc-lab,DC=example,DC=com”。

组搜索基准

输入 dsquery group 命令时加上已知用户名，以确定基准标识名。例如，以下命令使用组名称 Employees 返回标识名名称：

C:\>dsquery group -name “Employees” 
“CN=Employees,CN=Users,DC=csc-lab,DC=example,DC=com”

组基准标识名为 “DC=csc-lab,DC=example,DC=com”。

此外，还可以使用 ADSI Edit 程序浏览 Active Directory 结构（开始 > 运行 > adsiedit.msc）。在 ADSI Edit 中，右键点击任意对象，例如组织单位 (OU)、组或用户，然后选择属性查看标识名。然后，可以复制 DC 值的字符串作为基准。

要验证您是否获得了正确的基准，请执行以下操作：

1. 点击目录属性中的“测试连接”按钮验证连接。解决所有问题后，保存目录属性。

2. 提交对设备的更改。

3. 创建访问规则，选择用户选项卡，并尝试从目录添加已知的用户和组名称。在您键入内容时，系统会自动填充建议，以匹配包含该目录的领域中的用户和组。如果这些建议显示在一个下拉列表中，则说明系统可以成功查询目录。如果您没有看到建议，而且确定您键入的字符串应显示在用户或组名称中，则需要更正相应的搜索基准。

系统使用不同的进程与您的目录服务器通信，具体取决于服务器的功能。因此，身份策略的连接可以正常工作，而远程接入 VPN 的连接则失败。

这些进程使用不同的接口与目录服务器进行通信。您必须确保这些接口的连接性。

• 管理接口，用途：身份策略。

• 数据接口，用途：远程接入 VPN（外部接口）。

配置身份领域时，请使用 Test 按钮验证连接是否可以正常工作。失败消息应指示该功能存在连接问题。根据身份验证属性和路由/接口配置，以下是您可能会遇到的常规问题。

目录用户身份验证问题。

如果问题是系统因用户名或密码而无法登录目录服务器，请确保用户名和密码正确并在目录服务器上有效。对于 Active Directory，用户不需要更高的权限。您可以在域中指定任何用户。用户名必须是完全限定的；例如，Administrator@example.com（而不仅仅是 Administrator）。

此外，系统还会根据用户名和密码信息生成 ldap-login-dn 和 ldap-login-password。例如，Administrator@example.com 被转换为 cn=administrator,cn=users,dc=example,dc=com。请注意，cn = users 始终是此转换的一部分，因此您必须在公用名“users”文件夹下配置此处指定的用户。

目录服务器可通过数据接口进行访问。

如果目录服务器所在的网络直接连接到数据接口（例如千兆以太网接口）或是可从直连网络路由，那么您必须确保虚拟管理接口与目录服务器之间存在路由。

• 使用 data-interfaces 作为管理网关应该能够确保路由成功。

• 如果管理接口上有显式网关，则该网关路由器需要与目录服务器之间建立路由。

• 您不需要在诊断接口上配置 IP 地址，该接口是虚拟管理接口使用的物理接口。但是，如果您确实配置了地址，也不要配置会将流向目录服务器的流量重定向至诊断接口的静态路由（例如默认路由）。

• 如果直连网络与托管目录服务器的网络之间存在路由器，则为目录服务器配置静态路由 (Device > Routing)。

• 验证数据接口的 IP 地址和子网掩码是否正确。

目录服务器可通过管理物理接口进行访问。

如果目录服务器所在的网络直接连接到管理物理接口（例如 Management0/0）或是可从该网络路由，那么您必须执行以下操作：

• 在 Device > Interfaces 上为管理接口配置 IPv4 地址（使用逻辑名称 diagnostic）。该 IP 地址必须与虚拟管理地址 (Device > System Settings > Management Interface) 位于同一子网上。

• 如果目录服务器与管理接口之间存在路由器，则在诊断接口的 Device > Routing 上为目录服务器配置路由。

• 验证诊断接口和管理接口的 IP 地址和子网掩码是否正确。

目录服务器位于外部网络上。

如果目录服务器位于外部（上行链路）接口另一端的网络，您可能需要配置站点间 VPN 连接。有关详细程序，请参阅如何通过远程接入 VPN 使用外部网络上的目录服务器。

当外部授权无法使用时，您可以检查以下事项。

• 使用 RADIUS 服务器和服务器组对象中的测试按钮，验证是否可以从设备连接到服务器。务必在测试之前保存对象。如果测试失败：

  • 请注意，测试会忽略为服务器配置的接口，且始终使用管理接口。如果未将 RADIUS 身份验证代理配置为响应来自管理 IP 地址的请求，则测试预期失败。

  • 验证您在测试期间是否输入了正确的用户名/密码组合。如果用户名/密码组合不正确，您将收到凭证错误消息。

  • 验证服务器的加密密钥、端口和 IP 地址。如果使用主机名，验证是否为管理接口配置了 DNS。考虑在 RADIUS 服务器上，而不是在设备配置中是否会更改密钥。

  • 如果测试仍然失败，您可能需要配置到 RADIUS 服务器的静态路由。请尝试从 CLI 控制台或 SSH 会话对服务器执行 ping 操作，检查是否可以访问服务器。

• 如果外部身份验证一直都在工作，却停止了工作，请考虑是否会出现所有服务器均处于空载时间的情况。组内的所有 RADIUS 服务器都发生故障时，空载时间是系统在再次尝试连接第一个服务器之前等待的分钟数。默认时间为 10 分钟，不过您可以配置最长 1440 分钟。

• 如果 HTTPS 外部身份验证对一部分用户适用，对另一部分用户不适用，请评估 RADIUS 服务器中为每个用户账户定义的 cisco-av-pair 属性。此属性可能未正确配置。属性缺失或不正确将阻止对该用户账户的所有 HTTS 访问。

• 由于系统不将设备身份验证与用户关联，因此 Firepower System 不支持与 Active Directory 身份验证同时进行 802.1x 设备身份验证。如果使用 802.1x 主动登录，则将 ISE 配置为仅报告 802.1x 主动登录（设备和用户）。这样，仅向系统报告一次设备登录。

• ISE/ISE-PIC 不报告 ISE 访客服务用户的活动。

• 同步 ISE/ISE-PIC 服务器和设备上的时间。否则，系统可能会以意外间隔执行用户超时。

• 如果将 ISE/ISE-PIC 配置为监控大量用户组，则由于内存限制，系统可能会根据组丢弃用户映射。因此，带有领域或用户条件的规则可能不会按预期执行。

• 有关与此版本的系统兼容的 ISE/ISE-PIC 的特定版本，请参阅思科 Firepower 兼容性指南 (https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-device-support-tables-list.html)。

• 使用 ISE 服务器的 IPv4 地址，除非您确认您的 ISE 版本支持 IPv6。