Segurança : Cisco Web Security Appliance

Por que não posso eu encontrar grupos AD para domínios confiável ao fazer uma pesquisa de diretório nas políticas de acesso?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Vladimir Sousa e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta:

Por que não posso eu encontrar grupos AD para domínios confiável ao fazer uma pesquisa de diretório nas políticas de acesso?

Ambiente: Ferramenta de segurança da Web de Cisco (WSA), autenticação de NTLM, domínios confiável

Sintomas:

  • O usuário está tentando olhar acima do “um grupo diretório ativo” para usar-se como uma definição do membro da política em uma de suas políticas de acesso e o grupo não está mostrando na pesquisa de diretório.
  • O grupo pertence a um domínio confiado AD e não o domínio que o WSA se juntou a.

Este comportamento é pelo projeto. Ao configurar grupos nas políticas de acesso, os grupos dos domínios confiável não aparecerão na pesquisa de diretório.


Em todas as versões de AsyncOS, WSA tem a capacidade para autenticar usuários de um domínio diferente e para combinar seus grupos respectivos AD se o outro domínio tem uma confiança em dois sentidos com o domínio juntado por WSA.

Em tal encenação, nós podemos adicionar os grupos do domínio confiável nas políticas de acesso usando as etapas abaixo:

  1. Consulte ao GUI --> gerenciador de segurança da Web --> políticas de acesso --> <Policy Name> --> grupos e usuários selecionados --> grupos
  2. Datilografe manualmente dentro o nome do grupo inteiro, junto com o Domain Name, no campo da “pesquisa de diretório”
  3. Clique “adicionam” o botão
  4. Clique feito e então submeta & comprometa as mudanças

Note que o WSA não combinará os grupos manualmente configurados se o outro domínio não tem uma relação de confiança da 2-maneira com o domínio juntado por WSA

Nota: Em versões 7.7 e mais recente de AsyncOS, WSA apoia reinos múltiplos NTLM e para as encenações onde não há nenhuma relação de confiança entre os 2 domínios, nós podemos criar um reino novo NTLM para o segundo domínio. Com reinos múltiplos NTLM, WSA pode grupos da consulta dos domínios diferentes dentro das políticas de acesso.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118068