安全 : Cisco IronPort Web 安全设备

如何配置WSA执行LDAP认证组策略?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

贡献用Kei尾崎和Siddharth Rajpathak, Cisco TAC工程师。

问题:

环境:思科Web安全工具(WSA), AsyncOS所有版本

此知识库文章参考没有维护也思科不支持的软件。 信息被提供作为礼貌为您的便利。 对于进一步协助,请联系软件供应商。


对于“工作验证的组”,我们首先需要配置验证领域下面“GUI >网络>验证”。

  1. 第一组“认证协议”作为‘LDAP’和导航对“组授权” (当其他部分正确地配置)。
  2. 指定您的“组名属性”。这是表示值显示在“Web安全经理” > “Web访问策略” > “单击添加组” > “选择组类型对验证组” > “目录查找”表下的属性。此属性需要是唯一,并且此属性需要代表的叶节点在其组中包含用户列表。
  3. 其次,请指定“组过滤器查询”。这是WSA使用找出LDAP目录的所有组的搜索过滤器。
  4. 现在,请指定“是在叶节点的属性将表示成员一个唯一值的组成员属性”。因为此属性保持此组的成员,您会看到多个条目。请确保在此属性包括的值对应于在“用户名属性”包括的值查找在同一个页。

下面示例WSA如何将使用LDAP领域配置用户名与LDAP组相符:

  1. 假设我们设置“组过滤器查询”为“objectClass=group”
  2. WSA通过LDAP目录会第一次使用此过滤器和搜索和查找结果。
  3. 然后,使用结果, WSA将寻找在“组成员属性”指定的属性。假设这是呼叫“成员的”属性。
  4. 现在,如果用户登录作为‘USERNAME_A’通过WSA代理, WSA将查寻在LDAP服务器的用户帐户,并且,如果有匹配它将使用属性指定在“用户名属性下” (示例:uid)和检查“uid”是否配比在“成员”属性列出的用户收集以上。
  5. 如果有匹配如果不,用户会使用策略配置的WSA然后会评估在线路的下项策略。

要看到什么使用您的LDAP服务器,属性需要配置,请参考“Softerra LDAP浏览器” http://www.ldapbrowser.com



Document ID: 117937