安全 : Cisco IronPort Web 安全设备

如何适当地设置与SSO (发送的凭证的NTLM透明地) ?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

目录

贡献用Josh Wolfer和Siddharth Rajpathak, Cisco TAC工程师。

问题:


症状:浏览器提示输入凭证,当使用NTLM验证。


环境:思科Web安全工具(WSA), AsyncOS所有版本

几个要素也许影响客户端是否发送自动其凭证(SSO -单个符号),或者提示最终用户手工输入他们的凭证。
请验证以下项目,当尝试实现与SSO时的NTLM :


WSA身份验证配置:

验证WSA设置只使用基本而不是的NTLMSSP的NTLM

此设置可以在Web安全经理>身份页下的GUI找到。 编辑适当的标识通过验证>认证机制设置然后检查定义成员


选择以下选项之一:

  • 请使用NTLMSSP
  • 请使用基本或NTLMSSP
  • 请使用基本

NTLMSSP使客户端的功能能发送凭证安全地和透明地对Web代理。 

基本的NTLM允许客户端发送在纯文本的用户名和密码,当提示输入凭证。

基本的使用或NTLMSSP选项是选择的(建议使用)时,客户端选择最好的可用的方法。如果客户端支持NTLMSSP,将使用此方法,并且其他浏览器将使用基本。这允许最大兼容性。

客户端托拉斯:

如果客户端不委托WSA,不会发送它是凭证透明地。下列是帮助的指南排除故障客户端不委托WSA的环境。

客户端不委托验证重定向URL (仅透明部署)

在一透明部署, WSA必须重定向客户端到本身为了执行验证。客户端可能或可能不委托此重定向的位置。

默认情况下,对P1的FQDN的WSA重定向(或M1接口,如果使用代理数据)。因为这是FQDN, Internet Explorer不会委托它,相信这是一种资源在其网络外面。

有两种方式使Internet Explorer委托WSA :

  1. 添加WSA接口FQDN到可信的站点。选择工具> Internet选项> Security >可信的站点并且点击站点按钮。
    注意:在每个客户端必须更改此配置。

  2. 更改WSA使用是可解决的DNS,单一词主机名的重定向URL。

    这可以通过Web接口执行。请登陆对您的WSA作为admin并且导航对网络>验证。 然后请单击“编辑全局设置…”并且修改“透明验证重定向主机名”

    使用DNS,如果WSA不能解决此主机名,配置错误的警报消息将出现。 推荐您使用DNSCONFIG > localhosts (注意:‘localhosts’是隐藏命令)命令并且添加此主机名解决到用于代理数据的WSA接口。

    如果您的客户端不能DNS解析此主机名,您的客户端不能对代理。 


Document ID: 117934