如果使用 Kerberos 对强制网络门户用户进行身份验证，请记住以下几点。

主机名字符限制

如果使用 Kerberos 身份验证，则受管设备的主机名必须少于 15 个字符（这是 Windows 设置的 NetBIOS 限制）；否则，强制网络门户身份验证失败。您在设置设备时设置受管设备主机名。有关详细信息，请参阅 Microsoft 文档网站上的此类文章： Active Directory 中计算机、域、站点和 OU 的命名约定。

DNS 响应字符数限制

DNS 必须向主机名返回 64KB 或更少的响应；否则，测试连接 AD 连接失败。此限制在两个方向上都适用，将在 RFC 6891 第 6.2.5 节中讨论。

以下字段用于配置领域。

领域配置字段

这些设置适用于领域中的所有 Active Directory 服务器或域控制器（也称为目录）。

名称

领域的唯一名称。

• 要在身份策略中使用领域，系统需支持字母数字和特殊字符。

• 要在 RA-VPN 配置中使用领域，系统需支持字母数字、连字符 (-)、下划线 (_) 和加号 (+) 字符。

说明

（可选。）输入领域的描述。

类型 (Type)

领域类型， AD 表示 Microsoft Active 目录， LDAP 表示其他支持的 LDAP 存储库，或 本地。有关支持的 LDAP 存储库的列表，请参阅领域支持的服务器。您可以使用 LDAP 存储库对强制网络门户用户进行身份验证；所有其他都需要 Active Directory。

注	仅强制网络门户支持 LDAP 领域。

领域类型 LOCAL 用于配置本地用户设置。LOCAL 领域用于远程访问用户身份验证。

为 LOCAL 领域添加以下本地用户信息：

• 用户名-用户的名称。

• 密码-本地用户密码。

• 确认密码-确认本地用户密码。

注	点击添加其他本地用户 以将更多用户添加到 LOCAL 领域。 您可以在创建领域并为本地用户更新密码后添加更多用户。您还可以创建多个 LOCAL 领域，但不能将其禁用。

AD 主域 (AD Primary Domain)

仅用于 Microsoft Active Directory 领域。用于需要对用户进行身份验证的 Active Directory 服务器的域。

注	您必须为每个 Microsoft Active Directory (AD) 领域都指定一个唯一的 AD 主域。虽然系统允许对不同 Microsoft AD 领域指定相同的 AD 主域 ，但系统将无法正常运行。发生这种情况，是因为系统会向每个领域的每个用户和每个组都分配一个唯一 ID，因此系统无法明确识别任何特定用户或组。由于系统无法正确识别用户和组，因此会阻止您对多个领域指定相同的 AD 主域。发生这种情况，是因为系统会向每个领域的每个用户和每个组都分配一个唯一 ID，因此系统无法明确识别任何特定用户或组。

AD 加入用户名和 AD 加入密码 (AD Join Username and AD Join Password)

（在编辑领域时，在 领域配置 选项卡页面上可用。）

用于专为 Kerberos 强制网络门户主动身份验证设计的 Microsoft Active Directory 领域，表示具有可在 Active Directory 域中创建域计算机帐户的适当权限的任何 Active Directory 用户的标识用户名和密码。

记住以下几点：

• DNS 必须能够将域名解析为 Active Directory 域控制器的 IP 地址。

• 指定的用户必须能够将计算机加入到 Active Directory 域。

• 用户名必须是完全限定的（例如，administrator@mydomain.com，而不是 administrator）。

如果选择 Kerberos（或 HTTP 协商，如果希望 Kerberos 作为选项）作为身份规则中的身份验证协议，则必须为您所选的 领域 配置 AD 加入用户名 和 AD 加入密码，才能执行 Kerberos 强制网络门户主动身份验证。

注	SHA-1 散列算法无法在 Active Directory 服务器上存储密码，因此不应使用。有关详细信息，请参阅参考，例如 Microsoft TechNet 上的将证书颁发机构散列算法从 SHA1 迁移到 SHA2 或 Open Web 应用安全项目网站上的 密码存储备忘单 。 我们建议使用 SHA-256 与 Active Directory 通信。

目录用户名和目录密码 (Directory Username and Directory Password)

为具有检索用户信息的相应权限的用户提供的标识用户名和密码。

请注意以下提示：

• 对于某些版本的 Microsoft Active Directory，可能需要特定权限才能读取用户和组。有关详细信息，请参阅 Microsoft Active Directory 提供的文档。

• 对于 OpenLDAP，用户的访问权限由 OpenLDAP 规范第 8 部分中讨论的 <level> 参数确定。用户的 <level> 应为 auth 或更高。

• 用户名必须是完全限定的（例如，administrator@mydomain.com，而不是 administrator）。

注	SHA-1 散列算法无法在 Active Directory 服务器上存储密码，因此不应使用。有关详细信息，请参阅参考，例如 Microsoft TechNet 上的将证书颁发机构散列算法从 SHA1 迁移到 SHA2 或 Open Web 应用安全项目网站上的 密码存储备忘单 。 我们建议使用 SHA-256 与 Active Directory 通信。

基本 DN

（可选。）Cisco Secure Firewall Management Center应在其上开始搜索用户数据的服务器上的目录树。如果未指定 基本 DN，则系统会检索可连接到服务器的顶级 DN。

通常，基本可分辨名称 (DN) 具有指示公司域名和运营单位的基础结构。例如，Example 公司的 Security 部门的基础 DN 可能为 ou=security,dc=example,dc=com。

组 DN (Group DN)

（可选。）Cisco Secure Firewall Management Center应在其上搜索具有组属性的用户的服务器上的目录树。支持的组属性的列表在支持的服务器对象类和属性名称中显示。如果未指定 组 DN，则系统会检索可连接到服务器的顶级DN。

注	以下是系统在您的目录服务器中的用户、组和 DN 中 支持 的字符列表。使用除以下字符以外的任何字符可能会导致系统无法下载用户和组。 实体 支持的字符 用户名 a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ ` 组名称 a-z A-Z 0-9 ! # $ % ^ & ( ) _ - { } ' . ~ ` 基础 DN 和组 DN a-z A-Z 0-9 ! @ $ % ^ & * ( ) _ - . ~ ` 用户名中的任何位置均不支持空格，包括末尾。

编辑现有领域时，以下字段可用。

用户会话超时

（在编辑领域时，在 领域配置 选项卡页面上可用。）

输入用户会话超时前持续的分钟数。在用户登录事件后，默认值为 1440（24 小时）。超时后，用户的会话结束。如果用户继续访问网络，而不再次登录，则 管理中心 会将该用户视为未知（失败的强制网络门户用户除外）。

您可以为以下内容设置超时值：

• 用户代理和 ISE/ISE-PIC 用户：由用户代理或 ISE/ISE-PIC（被动身份验证类型）跟踪的用户的超时。

  您指定的超时值 不 适用于 pxGrid SXP 会话主题订用（例如，目标 SGT 映射）。相反，只要没有来自 ISE 的给定映射的删除或更新消息，会话主题映射就会保留。

  有关 ISE / ISE-PIC 的详细信息，请参阅 ISE/ISE-PIC 身份源。

• 终端服务代理用户：由 TS 代理（一种被动身份验证类型）跟踪的用户的超时。有关详细信息，请参阅终端服务 (TS) 代理身份源。

• 强制网络门户用户：使用强制网络门户（一种主动身份验证类型）成功登录的用户的超时。有关详细信息，请参阅强制网络门户身份源。

• 失败的强制网络门户用户：未使用强制网络门户成功登录的用户的超时。您可以配置 管理中心 将用户视为身份验证失败的用户之前的 最大登录尝试次数 。可以选择使用访问控制策略为身份验证失败的用户授予对网络的访问权限，如果是这样，此超时值将应用于这些用户。

  有关失败的强制网络门户登录的详细信息，请参阅强制网络门户字段。

• 访客强制网络门户用户：以访客用户身份登录到强制网络门户的用户的超时。有关详细信息，请参阅强制网络门户身份源。

领域目录字段

这些设置适用于领域中的各个服务器（例如 Active Directory 域控制器）。

主机名/IP 地址

Active Directory 域控制器计算机的完全限定主机名。要查找完全限定名称，请参阅 查找 Active Directory 服务器名称。

如果您使用 Kerberos 对强制网络门户进行身份验证，还请确保您了解以下内容：

如果使用 Kerberos 身份验证，则受管设备的主机名必须少于 15 个字符（这是 Windows 设置的 NetBIOS 限制）；否则，强制网络门户身份验证失败。您在设置设备时设置受管设备主机名。有关详细信息，请参阅 Microsoft 文档网站上的此类文章： Active Directory 中计算机、域、站点和 OU 的命名约定。

DNS 必须向主机名返回 64KB 或更少的响应；否则，测试连接 AD 连接失败。此限制在两个方向上都适用，将在 RFC 6891 第 6.2.5 节中讨论。

端口 (Port)

服务器的端口。

加密

（强烈建议。）要使用的加密方法：

• STARTTLS - 加密的 LDAP 连接

• LDAPS - 加密的 LDAP 连接

• 无 (None) - 未加密的 LDAP 连接（不安全的流量）

要与 Active Directory 服务器安全通信，请参阅 安全地连接到 Active Directory。

CA 证书

用于对服务器进行身份验证的 TLS/SSL 证书。必须配置 STARTTLS 或 LDAPS 作为 加密 类型才能使用 TLS/SSL 证书。

如果使用证书进行身份验证，则证书中的服务器名称必须与服务器主机名/IP 地址 (Hostname / IP Address) 匹配。例如，如果将 10.10.10.250 作为 IP 地址，而不是证书中的 computer1.example.com，连接会失败。

用于连接目录服务器的接口

仅 RA VPN 身份验证需要，以便 Cisco Secure Firewall Threat Defense 可以安全地连接到 Active Directory 服务器。但此接口不用于下载用户和组。

只能选择路由接口组。有关详细信息，请参阅接口。

点击以下选项之一：

• 通过路由查找进行解析：使用路由连接到 Active Directory 服务器。

• 选择接口 (Choose an interface)：选择要连接到 Active Directory 服务器的特定托管接口组。

用户 同步 字段

AD 主域 (AD Primary Domain)

仅用于 Microsoft Active Directory 领域。用于需要对用户进行身份验证的 Active Directory 服务器的域。

注	您必须为每个 Microsoft Active Directory (AD) 领域都指定一个唯一的 AD 主域。虽然系统允许对不同 Microsoft AD 领域指定相同的 AD 主域 ，但系统将无法正常运行。发生这种情况，是因为系统会向每个领域的每个用户和每个组都分配一个唯一 ID，因此系统无法明确识别任何特定用户或组。由于系统无法正确识别用户和组，因此会阻止您对多个领域指定相同的 AD 主域。发生这种情况，是因为系统会向每个领域的每个用户和每个组都分配一个唯一 ID，因此系统无法明确识别任何特定用户或组。

输入查询以查找用户和组

基本 DN：

（可选。）管理中心应在其上开始搜索用户数据的服务器上的目录树。

通常，基本可分辨名称 (DN) 具有指示公司域名和运营单位的基础结构。例如，Example 公司的 Security 部门的基础 DN 可能为 ou=security,dc=example,dc=com。

组 DN：

（可选。）管理中心应在其上搜索具有组属性的用户的服务器上的目录树。支持的组属性的列表在支持的服务器对象类和属性名称中显示。

注	组名和组织单位名称都不能包含特殊字符，如星号 (*)、等号 (=) 和后斜线 (\)，因为这些组中的用户不会被下载，也不能用于身份策略。

加载组

让您能够下载要用于用户感知和用户控制的用户和组。

可用组 (Available Groups)、添加以包含 (Add to Include)、添加以排除 (Add to Exclude)

限制可在策略中使用的组。

• 除非将组移至 包含的组和用户 或 排除的组或用户 字段，否则 可用组 字段中显示的组可用于策略。

• 如果您将组移动到 包含的组和用户 字段中，只有那些所包含的组和用户被下载，用户数据可用于用户感知和用户控制。

• 如果您将组移动到 排除的组和用户 字段中，他们所包含的所有组和用户， 除了 这些被下载并可用于用户认知和用户控制。

• 若要包括来自未包括的组的用户，请在 用户入侵 下面的字段中输入用户名，然后点击 添加。

• 若要包括来自未包括的组的用户，请在 用户入侵 下面的字段中输入用户名，然后点击 添加。

  注	使用公式 R = I - (E+e) + i 计算下载到 管理中心 的用户，其中： R 是已下载用户的列表 I 是包含的组 E 是排除的组 e 是排除的用户 i 是包含的用户

立即同步

点击以将组和用户与 AD 同步。

开始自动 同步 ，在

输入从 AD下载用户和组的时间和时间间隔。