Sécurité : Dispositifs de sécurité Web Cisco IronPort

Comment est-ce que j'installe correctement NTLM avec SSO (qualifications envoyées d'une manière transparente) ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Josh Wolfer et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :


Symptômes : Le navigateur incite pour des qualifications quand l'authentification NTLM est utilisée.


Environnement : Appliance de sécurité Web de Cisco (WSA), toutes les versions d'AsyncOS

Plusieurs facteurs pourraient affecter si le client envoie ses qualifications automatiquement (SSO - simple connectez-vous), ou incitent l'utilisateur final à entrer dans manuellement leurs qualifications.
Vérifiez les articles suivants en tentant d'implémenter NTLM avec SSO :


Configuration d'authentification WSA :

Vérifiez que le WSA n'est installé pour utiliser NTLMSSP et pas NTLM de base seulement

Cette configuration peut être trouvée sur le GUI sous la page de gestionnaire > d'identités de sécurité Web.  Éditez l'identité appropriée et puis vérifiez les membres de définir par l'établissement d'authentification > de modèles d'authentification.


Sélectionnez une des options suivantes :

  • Utilisation NTLMSSP
  • Utilisation de base ou NTLMSSP
  • Utilisation de base

NTLMSSP permet à la fonctionnalité pour que le client envoie les qualifications sécurisé et d'une manière transparente au proxy de Web. 

NTLM de base permet au client pour envoyer le nom d'utilisateur et mot de passe en texte brut une fois incité pour les qualifications.

Le client choisit la meilleure méthode disponible quand l'utilisation de base ou l'option NTLMSSP est (recommandé) sélectionné. Si le client prend en charge NTLMSSP, il utilisera cette méthode, et tous autres navigateurs utiliseront de base. Ceci tient compte de la compatibilité maximum.

Confiance de client :

Si le client ne fait pas confiance au WSA, il ne l'enverra pas est des qualifications d'une manière transparente. Ce qui suit sont des instructions à aider à dépanner des environnements où le client ne fait pas confiance au WSA.

Le client ne fait pas confiance à l'URL de redirection d'authentification (les déploiements transparents seulement)

Dans un déploiement transparent, le WSA doit réorienter le client à lui-même afin d'exécuter l'authentification. Le client peut ou peut ne pas faire confiance à cet emplacement réorienté.

Par défaut, les redirect to WSA le FQDN du P1 (ou l'interface M1 si elle est utilisée pour des données de proxy). Puisque c'est un FQDN, l'Internet Explorer ne lui fera pas confiance, comme il croit que c'est une ressource en dehors de son réseau.

Il y a deux manières d'inciter l'Internet Explorer à faire confiance au WSA :

  1. Ajoutez le FQDN d'interface WSA aux sites de confiance. Choisissez les outils > les options Internet > la Sécurité > a fait confiance à des sites et clique sur le bouton de sites.
    Remarque: Cette configuration doit être changée sur chaque client.

  2. Changez l'URL de redirection que le WSA l'utilise pour être des DN résolubles, adresse Internet uniterme.

    Ceci peut être fait par l'interface web. Ouvrez une session s'il vous plaît à votre WSA comme admin et naviguez vers le réseau > l'authentification.  Cliquez sur alors en fonction « éditent des paramètres généraux… » et modifiez « l'authentification transparente réorientent l'adresse Internet »

    Si le WSA ne peut pas résoudre cette adresse Internet utilisant des DN, les messages d'alerte pour des erreurs de configuration apparaîtront.  Il est recommandé que vous utilisez DNSCONFIG > localhosts (note : les « localhosts » est une commande de commande masquée) et ajoute cette adresse Internet pour les résoudre à l'interface WSA utilisée pour des données de proxy.

    Si vos clients ne peuvent pas les DN résolvent cette adresse Internet, vos clients ne pourront pas au proxy. 

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117934