Безопасность : устройство защиты веб-трафика Cisco

Почему я не могу найти AD группы для надежных доменов при выполнении Поиска по каталогам в политике доступа?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Внесенный Владимиром Соузой и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос:

Почему я не могу найти AD группы для надежных доменов при выполнении Поиска по каталогам в политике доступа?

Среда: Cisco Web Security Appliance (WSA), аутентификация NTLM, Надежные домены

Признаки:

  • Пользователь пробует к поиску, который "Группа Active Directory" для использования в качестве Задействованного Определения Политики в одной из его Политики доступа и группы не показывает в Поиске по каталогам.
  • Группа принадлежит доверяемому AD домену а не домену, к которому присоединился WSA.

Это поведение дизайном. При настройке групп в политике доступа группы от надежных доменов не обнаружатся в Поиске по каталогам.


Если другой домен имеет двухстороннее доверие с доменом, к которому присоединяется WSA, на всех версиях AsyncOS WSA имеет возможность подтвердить подлинность пользователей от другого домена и совпасть с их соответствующими AD группами.

В таком сценарии мы можем добавить группы от надежного домена в политике доступа с помощью ниже шагов:

  1. Передите к GUI-> веб-Менеджер безопасности-> Политика доступа-> <Name> Политики-> Selected Groups и Пользователи-> Группы
  2. Вручную введите во всем имени группы, вместе с доменным именем, в поле 'Directory Search'
  3. Нажмите кнопку Add
  4. Нажмите сделанный и затем Отправьте и передайте изменения

Если другой домен не будет иметь доверительных отношений с 2 путями с доменом присоединенными WSA, Обратите внимание на то, что WSA не совпадет с вручную настроенными группами

Примечание:
На версиях AsyncOS 7.7 и выше, WSA поддерживает множественные области NTLM и для сценариев, где нет никаких доверительных отношений между этими 2 доменами, мы можем создать новую область NTLM для второго домена. Со множественными областями NTLM WSA может группы поиска от других доменов в политике доступа.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.