Безопасность : устройство защиты веб-трафика Cisco

Как я должным образом устанавливаю NTLM с SSO (учетные данные, передаваемые прозрачно)?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Джошем Уолфером и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос:


Признаки
: Когда аутентификация NTLM используется, браузер вызывает для учетных данных.


Среда
: Cisco Web Security Appliance (WSA), все версии AsyncOS

Несколько факторов могли бы влиять, передает ли клиент его учетные данные автоматически (SSO - Единая точка входа) или побуждает конечного пользователя вручную вводить их учетные данные.
Проверьте следующие элементы при попытке внедрить NTLM с SSO:


Конфигурация аутентификации WSA:

Проверьте, что WSA установлен для использования NTLMSSP и не NTLM, Основного только

Эта установка может быть найдена на GUI под веб-  страницей Security Manager> Identities. Отредактируйте соответствующую Идентичность и затем проверьте Определить Участников Аутентификациейзначение Схем проверки подлинности.


Выберите одну из придерживающихся опций:

  • Используйте NTLMSSP
  • Используйте основной или NTLMSSP
  • Используйте основной

NTLMSSP добавляет функциональность для клиента для передачи учетных данных надежно и прозрачно к вебу - прокси. 

Основной NTLM позволяет клиенту передавать имя пользователя и пароль в открытом тексте , когда предложено для учетных данных.

    Когда  опция Use Basic или NTLMSSP выбрана (рекомендуемая), клиент выбирает наилучший имеющийся метод. Если поддержки клиентов NTLMSSP, это будет использовать этот метод, и все другие браузеры будут использовать Основной. Это обеспечивает максимальную совместимость.

Клиентское доверие:

Если клиент не будет доверять WSA, то он не передаст, это - учетные данные прозрачно. Ниже приводятся рекомендации, чтобы помочь устранять неполадки сред, где клиент не доверяет WSA.

Клиент не доверяет опознавательному  URL перенаправления (только прозрачные развертывания)

В прозрачных развертываниях WSA должен перенаправить клиент к себе для выполнения аутентификации. Клиент может или может не доверять этому перенаправленному местоположению.

По умолчанию WSA перенаправляет к FQDN P1 (или интерфейс M1, если это используется для данных прокси). Так как это - FQDN, Internet Explorer не будет доверять ему, поскольку это полагает, что это - ресурс за пределами его сети.

Существует два способа заставить Internet Explorer доверять WSA:

  1. Добавьте интерфейс WSA FQDN к надежным узлам. Выберите Tools>> Security Internet Options> Надежные узлы и нажмите кнопку Sites.
    Примечание: Эта конфигурация должна быть изменена у каждого клиента.

  2. Измените URL перенаправления что использование WSA, чтобы быть DNS разрешимое, имя хоста однословное.

    Это может быть сделано через веб-интерфейс. Войдите к WSA как admin и перейдите к Сети> Аутентификация. Затем щелкните по "Edit Global Settings..." и модифицируйте "Имя хоста Перенаправления Прозрачной аутентификации"

    Если WSA не может решить это имя хоста с помощью DNS, сигнальные сообщения для ошибок конфигурации появятся. Рекомендуется использовать DNSCONFIG> локальные узлы (Примечание: 'локальные узлы' являются командой hidden), дают команду и добавляют это имя хоста для решения к   интерфейсу WSA , используемому для  данных прокси.

    Если клиенты не могут решение DNS это имя хоста,    клиенты не  будут в состоянии  проксировать. 

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.