安全 : Cisco IronPort Web 安全设备

如何创建匹配活动目录组的访问策略组?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

贡献用Kei尾崎和Siddharth Rajpathak, Cisco TAC工程师。

问题

如何创建匹配激活目录(AD)组的访问策略组?

第一步将配置验证领域(NT LAN Manager (NTLM)领域)和使用验证领域的标识。

-------------------------------------------------------------------------------------

  1. 创建在Web安全工具(WSA)的NTLM领域在网络>验证下
  2. 一旦安排您的NTLM领域配置,请选择Web安全经理>标识,然后单击添加标识
  3. 遵从这些步骤创建标识:
    1. 名称:Auth.Id
    2. 上面插入:1
    3. 由验证定义成员:<NTLM领域name>
    4. 方案:请使用基本或NTLMSSP或者请使用NTLMSSP
    5. 留下其他设置作为默认。
      如果要测试验证选定客户端,使用由子网定义了成员并且指定请求的客户端的IP。这允许WSA请求只有这些选定客户端的验证。
    6. 单击 submit

这时您在Auth.Id标识应该只有两标识, Auth.Id全局标识策略,当验证启用。

下一步是使用Auth.Id标识和创建根据此标识的访问策略。您能指定需要的AD组或用户访问策略的。
-------------------------------------------------------------------------------------

  1. 选择GUI > Web安全经理>Access策略
  2. 单击添加策略
  3. 遵从这些步骤创建访问策略:
    1. 策略名称:Sales.Policy
    2. 在策略上的插入:1
    3. 标识策略:Auth.Id - Specifiy授权组和用户
    4. 手工输入组名或者点击刷新目录得到在您的AD存在用户的列表。一旦选择用户,请单击添加
    5. 单击提交,当完成。

如果需要创建另一个访问策略,请单击添加策略并且创建新的AD组的另一个访问策略。

您不应该创建同一验证领域的新建的标识。重新使用现有标识(Auth.Id)并且创建不同的AD组的新的访问策略,只要标识没有一定到代理端口URL类别用户代理,或者请由子网定义成员

多路访问策略使用不同的AD组,设置如下所示: :
-------------------------------------------------------------------------------------

标识

“Auth.Id”
“全局标识策略”

访问策略

“Sales.Policy”使用“Auth.Id”
“Support.Policy”使用“Auth.Id”
“Manager.Policy”使用“Auth.Id”
“Admin.Policy”使用“Auth.Id”
“全局策略”使用“所有”



Document ID: 118005