Segurança : Cisco Web Security Appliance

Como eu estabeleço corretamente o NTLM com SSO (credenciais enviadas transparentemente)?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Josh Wolfer e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta:


Sintomas: As alertas do navegador para credenciais quando a autenticação de NTLM for usada.


Ambiente: Ferramenta de segurança da Web de Cisco (WSA), todas as versões de AsyncOS

Diversos fatores puderam afetar se o cliente envia suas credenciais automaticamente (SSO - único sinal sobre), ou alertam o utilizador final incorporar manualmente suas credenciais.
Verifique os itens seguintes ao tentar executar o NTLM com SSO:


Configuração de autenticação WSA:

Verifique que o WSA se estabelece para usar somente NTLMSSP e não NTLM básicos

Este ajuste pode ser encontrado no GUI sob a página do gerenciador de segurança > das identidades da Web.  Edite a identidade apropriada e verifique então os membros da definição pelo ajuste da autenticação > dos métodos de autenticação.


Selecione uma das seguintes opções:

  • Use NTLMSSP
  • Use básico ou NTLMSSP
  • Use básico

NTLMSSP permite a funcionalidade para que o cliente envie as credenciais firmemente e transparentemente ao proxy da Web. 

O NTLM básico permite que o cliente envie o nome de usuário e senha no texto simples quando alertado para as credenciais.

O cliente escolhe o melhor método disponível quando o uso básico ou a opção NTLMSSP são selecionados (recomendado). Se os suportes ao cliente NTLMSSP, ele usarão este método, e todo o outros navegadores usarão básico. Isto permite a máxima compatibilidade.

Confiança do cliente:

Se o cliente não confia o WSA, não o enviará é credenciais transparentemente. Os seguintes são diretrizes a ajudar a pesquisar defeitos os ambientes onde o cliente não confia o WSA.

O cliente não confia a reorientação URL da autenticação (as disposições transparentes somente)

Em um desenvolvimento transparente, o WSA deve sereorientar- o cliente a fim executar a autenticação. O cliente pode ou não pode confiar este lugar reorientado.

À revelia, o WSA reorienta ao FQDN do P1 (ou da relação M1 se é usada para dados do proxy). Desde que este é um FQDN, o internet explorer não o confiará, como acredita que este é um recurso fora de sua rede.

Há duas maneiras de fazer o internet explorer confiar o WSA:

  1. Adicionar o FQDN da relação WSA às sites confiável. Escolha ferramentas > > segurança > sites confiável das opções de internet e clique o botão dos locais.
    Nota: Esta configuração deve ser mudada em cada cliente.

  2. Mude a reorientação URL que o WSA se usa para ser um pode ser resolvido DNS, hostname das palavras únicas.

    Isto pode ser feito através da interface da WEB. Entre por favor a seu WSA como o admin e navegue à rede > à autenticação.  Clique então sobre “editam configurações globais…” e altere “a autenticação transparente reorientam o hostname”

    Se o WSA não pode resolver este hostname usando o DNS, os mensagens de alerta para erros de configuração aparecerão.  Recomenda-se que você usa DNSCONFIG > host locais (nota: os “host locais são um comando do comando oculto) e adicionam este hostname para resolver à relação WSA usada para dados do proxy.

    Se seus clientes não podem resolução DNS este hostname, seus clientes não poderão ao proxy. 

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117934