Seguridad : Dispositivo de seguridad web Cisco

¿Cómo configuro correctamente el NTLM con SSO (credenciales enviadas transparente)?

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Contenido

Contribuido por Josh Wolfer y Siddharth Rajpathak, ingenieros de Cisco TAC.

Pregunta:


Síntomas: Los prompts del navegador para las credenciales cuando se utiliza la autenticación NTLM.


Entorno: Dispositivo de seguridad de la red de Cisco (WSA), todas las versiones de AsyncOS

Varios factores pudieron afectar si el cliente envía sus credenciales automáticamente (SSO - sola muestra encendido), o indican al usuario final que ingrese manualmente sus credenciales.
Verifique los elementos siguientes al intentar implementar el NTLM con el SSO:


Configuración de autenticación WSA:

Verifique que el WSA esté configurado para utilizar NTLMSSP y no el NTLM básico solamente

Esta configuración se puede encontrar en el GUI conforme a la página del administrador de seguridad > de las identidades de la red.  Edite la identidad apropiada y después marque a los miembros de la definición fijando de la autenticación > de los esquemas de autenticación.


Seleccione una de las opciones siguientes:

  • Utilice NTLMSSP
  • Utilice básico o NTLMSSP
  • Utilice básico

NTLMSSP permite a las funciones para que el cliente envíe las credenciales con seguridad y transparente al Web Proxy (Proxy Web). 

El NTLM básico permite que el cliente envíe el nombre de usuario y contraseña en el sólo texto cuando está indicado para las credenciales.

El cliente elige el mejor método disponible cuando el uso básico o NTLMSSP opción se selecciona (recomendado). Si los soportes de cliente NTLMSSP, él utilizan este método, y todo el otros navegadores utilizarán básico. Esto permite la compatibilidad máxima.

Confianza del cliente:

Si el cliente no confía en el WSA, no lo enviará es credenciales transparente. Los siguientes son guías de consulta a ayudar a resolver problemas los entornos donde el cliente no confía en el WSA.

El cliente no confía en el cambio de dirección URL (las implementaciones transparentes de la autenticación solamente)

En un despliegue transparente, el WSA debe reorientar al cliente a sí mismo para realizar la autenticación. El cliente puede o no puede confiar en esta ubicación reorientada.

Por abandono, el WSA reorienta al FQDN del P1 (o de la interfaz M1 si se utiliza para los datos del proxy). Puesto que esto es un FQDN, el Internet Explorer no lo confiará en, como cree que esto es un recurso fuera de su red.

Hay dos maneras de hacer que el Internet Explorer confía en el WSA:

  1. Agregue la interfaz FQDN WSA a los sitios confiables. Elija las herramientas > el > Security (Seguridad) > los sitios confiables de las opciones de Internet y haga clic el botón de los sitios.
    Nota: Esta configuración se debe cambiar en cada cliente.

  2. Cambie el cambio de dirección URL que el WSA utiliza para ser un DNS resolvable, nombre de host de la única palabra.

    Esto se puede hacer a través de la interfaz Web. Inicie sesión por favor a su WSA como admin y navegue a la red > a la autenticación.  Entonces haga clic en “editan las configuraciones globales…” y modifique la “autenticación transparente reorientan el nombre de host”

    Si el WSA no puede resolver este nombre de host usando el DNS, los mensajes de alerta para los Errores de configuración aparecerán.  Se recomienda que usted utiliza DNSCONFIG > los localhosts (nota: los “localhosts” son un comando del comando oculto) y agregan este nombre de host para resolver a la interfaz WSA usada para los datos del proxy.

    Si no pueden sus clientes resolución DNS este nombre de host, sus clientes no podrán al proxy. 


Document ID: 117934