安全 : Cisco IronPort Web 安全设备

为什么找不到可信的域的AD组,当执行在访问策略时的一个目录搜索?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

目录

贡献用弗拉基米尔Sousa和Siddharth Rajpathak, Cisco TAC工程师。

问题:

为什么找不到可信的域的AD组,当执行在访问策略时的一个目录搜索?

环境:思科Web安全工具(WSA), NTLM验证,可信的域

症状

  • 用户尝试查寻“活动目录组”使用作为策略成员定义在他的一个访问策略中,并且组在目录搜索不显示。
  • 组属于委托AD域WSA加入而不是的域。

此行为是故意的。当配置访问策略的时组,从可信的域的组在目录搜索不会出现。


在所有AsyncOS版本,如果另一个域有与WSA,加入的域的一双向信任WSA有能力验证从一个不同的域的用户和匹配他们的各自AD组。

在这种情况下,使用下面的步骤,我们能从在访问策略的可信的域添加组:

  1. 浏览对GUI--> Web安全经理-->Access策略--> <Policy Name>-->选择组和用户--> Groups
  2. 请与域名一起手工输入整个组名,到‘目录搜索’字段
  3. 点击“添加”按钮
  4. 点击完成然后提交&确认更改

注意WSA不会匹配手工配置的组,如果另一个域没有与WSA加入的域的一个双向信任关系

注意:在AsyncOS版本7.7和以上, WSA支持多NTLM领域,并且为没有2个域之间的信任关系的方案,我们能创建第二个域的新的NTLM领域。使用多NTLM领域, WSA能从不同的域的查找组在访问策略内。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118068