配置目录属性时，需要为用户和组指定公共基准标识名 (DN)。基准在您的目录服务器中定义，并且会因网络而不同。您必须输入正确的基准，身份策略才能正常使用。如果基准错误，则系统无法确定用户名或组名，进而导致基于身份的策略无法使用。

Note

要获得正确的基准，请咨询目录服务器的管理员。

对于 Active Directory，您可以用域管理员的身份登录 AD 服务器，并按照如下所示在命令提示符后输入 dsquery 命令来确定正确的基准：

用户搜索库

输入具有已知用户名（部分或完整）的 dsquery user 命令，以确定基准标识名。例如，以下命令使用部分名称“John*”返回以“John.”开头的所有用户的信息。

C:\Users\Administrator>dsquery user -name "John*"

"CN=John Doe,CN=Users,DC=csc-lab,DC=example,DC=com"

基准 DN 为“DC=csc-lab,DC=example,DC=com”。

组搜索基准

输入具有已知组名称的 dsquery group 命令，以确定基准 DN。例如，以下命令使用组名称 Employees 返回标识名：

C:\>dsquery group -name "Employees"

"CN=Employees,CN=Users,DC=csc-lab,DC=example,DC=com"

组基准 DN 为“DC=csc-lab,DC=example,DC=com”。

此外，您还可以使用 ADSI Edit 程序浏览 AD 结构 (Start > Run > adsiedit.msc)。在 ADSI Edit 中，右键点击任意对象，例如组织单位 (OU)、组或用户，然后选择属性查看标识名。然后，可以复制 DC 值的字符串作为基准。

要验证您是否获得了正确的基准，请执行以下操作：

Step 1

点击目录属性中的测试连接 (Test Connection) 按钮验证连接。解决所有问题后，保存目录属性。

Step 2

提交对设备的更改。

Step 3

创建访问规则，选择用户选项卡，并尝试从目录添加已知的用户和组名称。在您键入内容时，系统会自动填充建议，以匹配包含该目录的领域中的用户和组。如果这些建议显示在一个下拉列表中，则说明系统可以成功查询目录。如果您没有看到建议，而且确定您键入的字符串应显示在用户或组名称中，则需要更正相应的搜索基准。

有关详细信息，请参阅创建和编辑 Firepower 威胁防御 Active Directory 领域对象。