Sécurité : Dispositifs de sécurité Web Cisco IronPort

Comment est-ce que je configure mon WSA pour faire la stratégie de groupe d'authentification LDAP ?

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contribué par Kei Ozaki et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :

Environnement : Appliance de sécurité Web de Cisco (WSA), toutes les versions d'AsyncOS

Cet article de la base de connaissances met en référence le logiciel qui n'est pas mis à jour ou est pris en charge par Cisco.  Les informations sont données comme courtoisie pour votre commodité.  Pour davantage d'assistance, contactez s'il vous plaît le fournisseur de logiciels.


Pour le « groupe d'authentification » à fonctionner, d'abord nous devons configurer un royaume d'authentification sous « GUI > réseau > authentification ».

  1. Le premier positionnement « authentification Protocol » en tant que « LDAP » et naviguent vers la « autorisation de groupe » (l'autre section correctement étant configuré).
  2. Spécifiez votre « attribut de nom de groupe ». C'est l'attribut qui tient la valeur qui est affichée sous « gestionnaire de sécurité Web » > « stratégies d'accès au Web » > « clique sur Add le groupe » > « le type choisi de groupe au groupe d'authentification » > à la table « de consultation de répertoire ». Cet attribut doit être seul et le noeud terminal représenté par les besoins de cet attribut contiennent une liste d'utilisateurs dans son groupe.
  3. Ensuite, spécifiez « la requête de filtre de groupe ». C'est le filtre de recherche que WSA l'utilise pour localiser tout le GROUPE dans le répertoire LDAP.
  4. Maintenant, spécifiez le « attribut d'adhésion à des associations » qui est l'attribut dans le noeud terminal qui tiendrait la seule valeur de membres. Puisque cet attribut tient le membre de ce GROUPE, vous verriez des plusieurs entrées. Veuillez s'assurer que la valeur incluse dans cet attribut correspond à la valeur incluse dans le « attribut de nom d'utilisateur » situé sur la même page.

Est ci-dessous un exemple de la façon dont WSA emploierait la configuration de royaume de LDAP pour apparier un nom d'utilisateur contre un groupe de LDAP :

  1. Disons-nous placent « la requête de filtre de groupe » au « objectClass=group »
  2. WSA utiliserait la première fois ces filtre et recherche par le répertoire LDAP, et trouve le résultat.
  3. Puis, utilisant le résultat, WSA recherchera l'attribut spécifié dans le « attribut d'adhésion à des associations ». Disons ceci est un attribut appelé le « membre ».
  4. Maintenant si un utilisateur ouvre une session en tant que « USERNAME_A » par le proxy WSA, WSA consultation le compte d'utilisateur dans le serveur LDAP, et s'il y avait une correspondance il utiliserait l'attribut spécifié sous le « attribut de nom d'utilisateur » (exemple : uid) et contrôles si le « uid » s'assortit contre des utilisateurs répertoriés dans l'attribut de « membre » collecté ci-dessus.
  5. S'il y avait une correspondance l'utilisateur utiliserait la stratégie configurée et sinon, alors WSA évaluerait la prochaine stratégie dans la ligne.

Pour voir quels attributs doivent être configurés utilisant votre serveur LDAP, référez-vous s'il vous plaît « au navigateur » http://www.ldapbrowser.com de LDAP de Softerra



Document ID: 117937