セキュリティ : Cisco Web セキュリティ アプライアンス

どのようにきちんと SSO (透過的に送信 される 資格情報)の NTLM を設定しますか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

Cisco TAC エンジニア、Josh Wolfer および Siddharth Rajpathak により寄稿されました。

質問:


症状: NTLM 認証が使用される場合の資格情報のためのブラウザ プロンプト。


環境: Cisco Web セキュリティ アプライアンス(WSA)、AsyncOS のすべてのバージョン

複数のファクタはクライアントが自動的に資格情報を(SSO -単一 サイン)影響を与える送信 するかもしれませんでしたり、またはエンドユーザをかどうか手動で 資格情報を入力するためにプロンプト表示しません。
SSO の NTLM を設定するように試みた場合以下の項目を確認して下さい:


WSA 認証 の 設定:

NTLMSSP およびない NTLM 基本だけを使用するために WSA が設定されることを確認して下さい

この設定は Web セキュリティ マネージャ > 識別ページの下の GUI で見つけることができます。  適切な識別を編集し、次に認証 > 認証機構 設定によって定義メンバーをチェックして下さい


次のいずれかのオプションを選択して下さい:

  • NTLMSSP を使用して下さい
  • 基本か NTLMSSP を使用して下さい
  • 基本を使用して下さい

NTLMSSP は Web プロキシに資格情報を安全におよび透過的に送ることをクライアントのための機能性が可能にします。 

NTLM 基本は資格情報のためにプロンプト表示されたときクライアントが平文のユーザ名 および パスワードを送信 することを可能にします。

クライアントは使用基本か NTLMSSP オプションが指定(推奨)のとき最もよく利用可能 な 方式を選択します。 クライアントが NTLMSSP をサポートする場合、この方式を使用し、他のブラウザはすべて基本を使用します。 これは最大互換性を可能にします。

クライアント信頼:

クライアントが WSA を信頼しない場合、それをです透過的に資格情報 送信 しません。 以下はクライアントが WSA を信頼しない環境の解決を助けるべきガイドラインです。

クライアントは信頼しません認証 リダイレクション URL (透過的な配備だけ)を

透過的な配備では、WSA はそれ自身に認証を行うためにクライアントをリダイレクトする必要があります。 クライアントはこれを信頼しないリダイレクトされた位置かもしれないしまたはそうではないかもしれません。

デフォルトでプロキシ データのために使用される場合)、P1 の FQDN への WSA リダイレクト(または M1 インターフェイス。 これが FQDN であるので、Internet Explorer はこれはネットワークの外のリソースであることを信じるように、それを信頼しません。

Internet Explorer に WSA を信頼させます 2 つの方法があります:

  1. 信頼できるサイトに WSA インターフェイス FQDN を追加して下さい。 > Security > 信頼できるサイトを Tools > Internet Options の順に選択 し、Sites ボタンをクリックして下さい。
    注: この設定は各クライアントで変更する必要があります。

  2. WSA が 1 語ホスト名解決可能な DNS であるのに使用するリダイレクション URL を変更して下さい。

    これは Webインターフェイスを通してすることができます。 WSA に admin としてログインし、ネットワーク > 認証にナビゲート して下さい。  それからクリックして下さい「編集しますグローバル な 設定を…」 そして修正する「透過的な認証 リダイレクト ホスト名」

    WSA が解決できなければこのホスト名、設定 エラーのための- DNS を使用して…警告メッセージが現れます。  DNSCONFIG > localhosts (注使用することを推奨します: 「localhosts」は隠しコマンド)コマンドで、プロキシ データに使用する WSA インターフェイスに解決するためにこのホスト名を追加します。

    クライアントが DNS resolve このホスト名できない場合、クライアントはプロキシにできません。 

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117934