Безопасность : устройство защиты веб-трафика Cisco

Как я настраиваю свой WSA, чтобы сделать Групповую политику Проверки подлинности LDAP?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Внесенный Kei Ozaki и Siddharth Rajpathak, специалистами службы технической поддержки Cisco.

Вопрос:

Среда: Cisco Web Security Appliance (WSA), все версии AsyncOS

Эта статья Базы Знаний ссылается на программное обеспечение, которое не поддерживается Cisco. Информация предоставлена как любезность для вашего удобства. Для дальнейшей поддержки свяжитесь с поставщиком программного обеспечения.


Для "Authentication Group" для работы сначала мы должны настроить область аутентификации под "GUI> Сеть> Аутентификация".

  1. Сначала набор "Протокол аутентификации" как 'LDAP' и перешел к "Авторизации группы" (с другим разделом, правильно настроенным).
  2. Задайте свой "Атрибут Имени группы". Это - атрибут, который держит значение, которое отображено при "веб-Менеджере безопасности"> "Политика Веба - доступа">, "Click Add Group"> "Выбирает Тип группы к Authentication Group"> таблица "Каталога Lookup". Этот атрибут должен быть уникальным, и оконечный узел, представленный этим атрибутом, должен содержать список пользователей в его группе.
  3. Затем, задайте "Запрос Фильтра Группы". Это - поисковый фильтр который использование WSA определить местоположение всей ГРУППЫ в каталоге LDAP.
  4. Теперь, задайте "Атрибут Состава группы", который является атрибутом в оконечном узле, который держал бы задействованное уникальное значение. Так как этот атрибут держит участника этой ГРУППЫ, вы видели бы несколька точек входа. Удостоверьтесь, что значение, включенное в этот атрибут, соответствует значению, включенному в "Атрибут Имени пользователя", расположенный на той же странице.

Ниже пример того, как WSA использовал бы конфигурацию области LDAP для соответствия с именем пользователя против группы LDAP:

  1. Скажем, мы устанавливаем "Запрос Фильтра Группы" в "objectClass=group"
  2. WSA сначала использовал бы этот фильтр и перерыл бы каталог LDAP и нашел бы результат.
  3. Затем с помощью результата WSA будет искать атрибут, заданный в "Атрибуте Состава группы". Скажем, это - атрибут , названный "участником".
  4. Теперь, если входы пользователя в систему в как 'USERNAME_A' через прокси WSA, WSA был бы поиск учетная запись пользователя в Сервере LDAP, и если бы было соответствие , это использовало бы атрибут, заданный под "Атрибутом Имени пользователя" (пример: uid) и проверки, если "uid" совпадает против пользователей, перечисленных в "задействованном" атрибуте, собранном выше.
  5. Если бы было соответствие , то пользователь использовал бы настроенную политику, и в противном случае тогда WSA оценил бы следующую политику в линии.

 Видеть, какие атрибуты должны быть настроены с помощью Сервера LDAP см. "Браузер LDAP Softerra" http://www.ldapbrowser.com



Document ID: 117937