要删除未引用的对象，请点击该对象的垃圾桶图标 ()。

• 名称 - 目录领域的名称。

• 类型 - 目录服务器的类型。Active Directory 是唯一支持的类型，所以无法更改此字段。

• 目录用户名、目录密码 - 用户的标识名称和密码，该用户具备访问您要检索的用户信息的适当权限。对于 Active Directory，用户不需要更高的权限。您可以在域中指定任何用户。用户名必须是完全限定的；例如，Administrator@example.com（而不仅仅是 Administrator）。

  注	系统使用此信息生成 ldap-login-dn 和 ldap-login-password。例如，Administrator@example.com 被转换为 cn=administrator,cn=users,dc=example,dc=com。请注意，cn = users 始终是此转换的一部分，因此您必须在公用名“users”文件夹下配置此处指定的用户。

• 基准 DN - 用于搜索或查询用户和组信息的目录树，即用户和组的公共父项。例如，cn=users,dc=example,dc=com。有关查找基准 DN 的信息，请参阅确定目录基准标识名。

• AD 主域 - 设备应加入的 Active Directory 完全限定域名。例如 example.com。

• 主机名/IP 地址 - 目录服务器的主机名或 IP 地址。如果以加密方式连接到服务器，则必须输入完全限定域名，而非 IP 地址。

• 接口 - 应通过其访问 AD 服务器的接口。如果不选择接口，系统会使用数据路由表查找合适的接口。如果您要使用某个管理专用接口，则必须明确选择该接口；不能在管理专用路由表中使用路由查找。

• 端口 - 用于与服务器通信的端口号。默认值为 389。如果选择 LDAPS 作为加密方法，请使用端口 636。

• 加密 - 要使用加密连接下载用户和组信息，请选择所需的方法 STARTTLS 或 LDAPS。系统默认为无，也就是说以明文形式下载用户和组信息。

  • STARTTLS 将会协商加密方法，并使用目录服务器支持的最强方法。使用端口 389。如果将领域用于远程访问 VPN，则不支持此选项。

  • LDAPS 需要基于 SSL 的 LDAP。使用端口 636。

• 受信任的 CA 证书 - 如果选择加密方法，请上传证书颁发机构 (CA) 证书以便在系统和目录服务器之间启用受信任的连接。如果要使用证书进行身份验证，则证书中的服务器名称必须与服务器主机名/IP 地址匹配。例如，如果使用 10.10.10.250 作为 IP 地址，但证书中的地址为 ad.example.com，则连接失败。

您可以将最多 10 个 AD 服务器添加到领域。这些服务器需要彼此复制并支持相同的 AD 域。

为方便起见，您可以折叠和展开每个服务器条目。用主机名/IP 地址和端口标记各个部分。

系统使用单独的进程和接口访问服务器，因此您可能会收到错误通知，指出连接适用于一种用途而不适用于另一种用途，例如可用于身份策略，但不可用于远程访问 VPN。如果无法访问服务器，请确认 IP 地址和主机名正确、DNS 服务器具有该主机名的条目等。您可能需要为该服务器配置静态路由。有关详细信息，请参阅目录服务器连接故障排除。

要删除未引用的对象，请点击该对象的垃圾桶图标 ()。

• 名称 - 对象的名称。

• 说明 - 对象的可选说明。

• AD 领域 - 点击 + 将 AD 领域对象添加到序列中。添加领域后，点击并将领域拖放到所需的有序序列中。

现在，您可以在被动身份规则中选择 AD 领域序列。

要删除某个未引用的对象，请点击该对象的垃圾桶图标 ()。

• 名称 - 对象的名称。这不需要与服务器上配置的任何内容匹配。

• 服务器名称或 IP 地址 - 服务器的完全限定主机名 (FQDN) 或 IP 地址。例如，radius.example.com 或 10.100.10.10.

• 身份验证端口 - 在其上执行 RADIUS 身份验证和授权的端口。默认值为 1812。

• 超时 - 系统将请求发送至下一服务器之前等待服务器响应的时长，此为 1-300 秒之间的数值。默认值为 10 秒。如果您将此服务器用作远程访问 VPN 的辅助身份验证源，例如用于提示输入身份验证令牌，请将超时时间至少延长到 60 秒，以便让用户有时间获取和输入令牌。

• 服务器密钥 -（可选。）用于加密 威胁防御设备和 RADIUS 服务器之间数据的共享密钥。该密钥是一个区分大小写的字母数字字符串，最多 64 个字符，且不含空格。密钥必须以字母数字字符或下划线开头，它可以包含特殊字符：$ & - _ . + @。字符串必须匹配 RADIUS 服务器上配置的字符串。如果不配置密钥，则不加密连接。

• 重定向 ACL - 选择要用于 RA VPN 重定向 ACL 的扩展 ACL。在设备 (Device) > 高级配置 (Advanced Configuration) > 智能 CLI (Smart CLI) > 对象 (Objects)页面上使用 Smart CLI 扩展访问列表 (Extended Access List)创建扩展 ACL。

  重定向 ACL 的目的是将初始流量发送到思科身份服务引擎 (ISE)，以便 ISE 可以评估客户端安全状况。ACL 应向 ISE 发送 HTTPS 流量，而非已设定发往 ISE 的流量或被定向到域名解析 DNS 服务器的流量。有关示例，请参阅在 威胁防御 设备上配置授权更改。

• 用于连接 RADIUS 服务器的接口 - 与该服务器通信时要使用的接口。如果您选择通过路由查找解决，系统将始终使用数据路由表来确定要使用的接口。如果您选择手动选择接口，系统将始终使用您选择的接口。如果您要使用某个管理专用接口，则必须明确选择该接口；不能对管理专用路由表使用路由查找。

  如果您在配置授权更改，则必须选择特定接口，以便系统可以在该接口上正确启用 CoA 侦听程序。

  如果此服务器还用于 设备管理器 管理访问，则此接口将被忽略。系统始终通过管理 IP 地址对管理访问尝试进行身份验证。

系统会提示输入用户名和密码。测试确认是否可以连接服务器，如果可以连接，则确认是否可以对用户名进行身份验证。

要删除某个未引用的对象，请点击该对象的垃圾桶图标 ()。

• 名称 - 对象的名称。这不需要与服务器上配置内容匹配。

• 断路时间 - 只有当所有服务器均发生故障时，才会重新激活故障服务器。断路时间是指最后一台服务器发生故障后，在重新激活所有服务器之前所等待的时间，其值为 0-1440 分钟。仅当配置回退到本地数据库时，失效时间时间才适用；身份验证将在本地尝试，直到失效时间结束。默认值为 10 分钟。

• 最大失败尝试次数 - 尝试组中下一个服务器之前发送到 RADIUS 服务器的失败 AAA 事务（即，未收到响应的请求）的数量。您可以指定 1 到 5 之间的数字，默认值为 3。超过最大失败尝试次数时，系统会将服务器标记为故障。

  对于给定功能，如果您使用本地数据库配置回退方法，并且组中的所有服务器都无法响应，则会将该组视为无法响应，并将尝试回退方法。该服务器组会在断路时间内保持标记为无响应，以确保该时段内其他 AAA 请求不会尝试联系该服务器组，而是立即使用回退方法。

• 动态授权（仅限于 RA VPN）、端口 - 如果为此 RADIUS 服务器组启用 RADIUS 动态授权或授权更改 (CoA) 服务，该组会注册 CoA 通知并侦听指定的端口，以便使 CoA 策略从思科身份服务引擎 (ISE) 进行更新。默认侦听端口为 1700，也可以指定 1024 到 65535 范围内的其他端口。仅当您在远程访问 VPN 中结合 ISE 使用此服务器组时，才能启用动态授权

• 支持 RADIUS 服务器的领域 - 如果 RADIUS 服务器配置为使用 AD 服务器对用户进行身份验证，请选择指定了与此 RADIUS 服务器结合使用的 AD 服务器的 AD 领域。如果尚不存在此领域，请点击列表底部的创建新身份领域 (Create New Identity Realm) 立即配置。

• RADIUS 服务器列表 - 选择为该组定义服务器的最多 16 个 RADIUS 服务器对象。按优先级顺序添加这些对象。使用列表中的第一个服务器，直至此服务器无法响应。添加对象后，您可以通过拖放重新排列对象。如果所需的对象尚不存在，请点击创建新的 RADIUS 服务器 (Create New RADIUS Server) 立即添加对象。

  您也可以点击测试 (Test) 链接，验证系统是否可以连接到服务器。系统会提示输入用户名和密码。测试确认是否可以连接服务器，如果可以连接，则确认是否可以对用户名进行身份验证。

系统会提示输入用户名和密码。系统会检查是否可以连接每个服务器，以及用户名是否可在每台服务器上进行身份验证。

要删除某个未引用的对象，请点击该对象的垃圾桶图标 ()。

• 名称 - 对象的名称。

• 状态 (Status) - 点击开关以启用或禁用对象。禁用对象时，您不能将 ISE 用作身份规则中的身份源。

• 说明 - 对象的可选说明。

• 主节点主机名/IP 地址 - 主要 pxGrid ISE 服务器的主机名或 IP 地址。不要指定 IPv6 地址，除非确认您的 ISE 版本支持 IPv6。

• 辅助节点主机名/IP 地址 (Secondary Node Hostname/IP Address) - 如果您设置辅助 ISE 服务器以实现高可用性，请点击添加辅助节点主机名/IP 地址 (Add Secondary Node Hostname/IP Address) 并输入辅助 pxGrid ISE 服务器的主机名或 IP 地址。

• pxGrid 服务器 CA 证书 - 受信任的 pxGrid 框架证书颁发机构证书。如果部署包括主要和辅助 pxGrid 节点，则两个节点的证书必须由同一证书颁发机构签署。

• MNT 服务器 CA 证书 - 执行批量下载时 ISE 证书的受信任的证书颁发机构证书。如果您的 MNT（监控和故障排除）服务器不是单独的服务器，此证书可能与 pxGrid 服务器证书相同。如果部署包括主要和辅助 MNT 节点，则两个节点的证书必须由同一证书颁发机构签署。

• 服务器证书 - 连接 ISE 或执行批量下载时，威胁防御设备必须向 ISE 提供的内部身份证书。

• 订用 - 选择应订用哪个 ISE pxGrid 主题。订用主题意味着您将下载与该主题相关的数据。

  • 会话目录主题 - 是否获取有关用户会话的信息，包括用户会话的 SGT 映射。默认情况下，此选项已启用。如果要获取被动用户身份以在安全策略中使用并在监控控制面板中实现可视化，则应选择此选项。

  • SXP 主题 - 是否获取静态“SGT 到 IP”地址映射。如果要基于安全组标记 (SGT) 编写访问控制规则，请选择此主题。

• ISE 网络过滤器 - 可设置用来限制 ISE 向系统报告的数据的可选过滤器。如果提供网络过滤器，ISE 会仅报告网络上符合过滤器要求的数据。点击 +，选择标识网络的网络对象，然后点击确定 (OK)。如果您需要创建对象，点击创建新网络 (Create New Network)。仅配置 IPv4 网络对象。

如果测试失败，请点击查看日志 (See Logs) 链接了解详细的错误消息。例如，以下消息表示系统无法在规定端口连接到服务器。存在的问题可能是，没有路由到主机（即 ISE 服务器未使用预期端口），或访问控制规则阻止这类连接。

Captured Jabberwerx log:2018-05-11T16:10:30 [   ERROR]: connection timed out while 
trying to test connection to host=10.88.127.142:ip=10.88.127.142:port=5222

• 选择对象，然后从目录中选择身份源。

• 依次选择设备 > 远程访问 VPN > SAML 服务器。

要删除某个未引用的对象，请点击该对象的垃圾桶图标 ()。

• 名称 - 对象的名称。

• 说明 - 对象的可选说明。

• 身份提供程序 (IDP) 实体 ID URL - 这是用于提供元数据 XML 的页面的 URL（元数据 XML 说明 SAML 颁发者将如何响应请求）。有些 SAML 服务器产品称之为实体 ID，有些称之为元数据 URL。此 URL 必须为 4-256 个字符，包括协议 https://。例如 https://191.168.2.21/dag/saml2/idp/metadata.php。

  注	如果以 XML 文件形式从 SAML 服务器下载信息，请点击从 XML 文件填充 (Populate from XML file) 并选择该文件。可以从 XML 文件中填充此字段以及登录 URL (Sign-In URL) 和身份提供程序证书 (Identity Provider Certificate)。

• 登录 URL - 用于登录到身份提供程序 SAML 服务器的 URL。此 URL 必须介于 4-500 个字符之间，包括协议。允许使用 http:// 和 https://。例如 https://191.168.2.21/dag/saml2/idp/SSOService.php。

• 注销 URL - 用于注销身份提供程序 SAML 服务器的 URL。此 URL 必须介于 4-500 个字符之间，包括协议。允许使用 http:// 和 https://。例如 https://191.168.2.21/dag/saml2/idp/SingleLogoutService.php。

• 服务提供商证书- 用于 威胁防御 设备的内部证书。理想情况下，您已上传由获认可的第三方签名的证书，现在可以选择该证书。您还可以使用内置的 DefaultInternalCertificate，或点击创建新内部证书并立即上传签名证书。SAML 服务器身份提供程序必须信任此证书，因此您可能需要将其上传到 SAML 服务器。有关如何上传证书或以其他方式启用与服务提供商的信任关系的信息，请参阅 SAML 服务器文档。

• 身份提供程序证书 - SAML 服务器身份提供程序的受信任 CA 证书。从 SAML 服务器下载此证书。如果尚未上传，请点击创建新的受信任 CA 证书并立即上传。

• 请求签名 - 为登录请求签名时使用的加密算法。选择“无”可禁用加密。否则，请选择以下一个选项（按从弱到强的顺序排序）：SHA1、SHA256、SHA384、SHA512。

• 请求超时 - SAML 断言具有有效时间段：用户必须在此有效时间段内完成单点登录请求。您可以设置超时时间值（以秒为单位）以更改此有效时间段。如果设置的超时时间长于断言的 NotOnOrAfter 条件，系统将忽略您设置的超时时间值，并且 NotOnOrAfter 条件将生效。范围为 1-7200 秒。默认值为 300 秒。

• 此 SAML 身份提供程序 (IDP) 位于内部网络上 - SAML 服务器是否在内部网络上运行，而不是在受保护网络外部运行。

• 在登录时请求重新执行 IDP 身份验证 - 选择此选项可使用户在每次登录时重新进行身份验证，而不是让 SAML 服务器重新使用以前的身份验证会话。默认情况下，此选项已启用。

• 默认用户角色-分配用户的授权角色（如果无法通过此页面上的设置确定）。

• 组成员属性-SAML 服务器中定义用户的 RBAC 授权角色的用户属性。

• 角色映射-对于每个角色，键入将在 SAML 用户记录的组成员属性中显示的字符串，该字符串应与该角色对应。

  • 管理员-对应用的所有方面具有完全读写访问权限的用户。

  • 加密管理员 (Cryptographic Admin) - 可以配置与加密相关的功能（例如证书、解密策略和密钥）的用户。对其他功能的只读权限。

  • 审核管理员 (Audit Admin) - 可以查看用户登录历史记录和审计日志并执行审核相关操作的用户。对配置功能的只读权限。

  • 读写-用户可以执行只读用户可以执行的任何操作，但还可以编辑和部署配置。唯一的限制是无法执行关键系统操作，包括安装升级、创建和恢复备份、查看审核日志以及中止其他 设备管理器 用户的会话。

  • 只读-用户可以查看控制面板和配置，但不能进行任何更改。如果尝试进行更改，错误消息会解释由于缺乏权限出错。

列表将显示用户名和服务类型，可以是：

• MGMT - 针对可以登录到 设备管理器的管理用户。始终定义管理员用户，并且无法将其删除。也不能配置其他 MGMT 用户。但是，如果您定义管理访问的外部身份验证，登录到设备的外部用户将作为 MGMT 用户显示在本地用户列表中。

• 远程访问 VPN - 针对可以登录到设备上配置的远程访问 VPN 的用户。您还必须选择主要或辅助（回退）源的本地数据库。

• 要添加用户，请点击 +。

• 要编辑用户，请点击该用户的编辑图标 ()。

如果您不再需要特定用户账户，请点击该用户的删除图标 ()。

用户名和密码可以包含除空格和问号之外的任何可打印 ASCII 字母数字或特殊字符。可打印的字符为 ASCII 代码 33-126。

• 名称 - 用于登录远程访问 VPN 的用户名。名称可以是 4 至 64 个字符，但不能包含空格。例如，johndoe。

• 密码、确认密码 - 输入账户的密码。密码长度必须介于 8 到 16 个字符之间。它不能包含相同的连续字母。它还必须至少包含以下各项中的一项：数字、大写和小写字符，以及特殊字符。