Warum kann ich bei einer Verzeichnissuche in Zugriffsrichtlinien keine AD-Gruppen für vertrauenswürdige Domänen finden?

Download-Optionen

PDF (232.0 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (92.4 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (74.3 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:24. Juli 2014

Dokument-ID:118068

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Frage:

Warum kann ich bei einer Verzeichnissuche in Zugriffsrichtlinien keine AD-Gruppen für vertrauenswürdige Domänen finden?

Umgebung: Cisco Web Security Appliance (WSA), NTLM-Authentifizierung, Trusted Domains

Symptome:

Der Benutzer versucht, eine "Active Directory-Gruppe" zu suchen, die als Policy Member Definition in einer seiner Zugriffsrichtlinien verwendet werden soll, und die Gruppe wird in der Verzeichnissuche nicht angezeigt.
Die Gruppe gehört zu einer vertrauenswürdigen AD-Domäne und nicht zu der Domäne, der die WSA beigetreten ist.

Dieses Verhalten ist beabsichtigt. Beim Konfigurieren von Gruppen in Zugriffsrichtlinien werden die Gruppen aus vertrauenswürdigen Domänen bei der Verzeichnissuche nicht angezeigt.

In allen AsyncOS-Versionen kann die WSA Benutzer aus einer anderen Domäne authentifizieren und ihren jeweiligen AD-Gruppen zuordnen, wenn die andere Domäne über eine Zwei-Wege-Vertrauenswürdigkeit mit der Domäne verfügt, der die WSA angehört.

In einem solchen Szenario können die Gruppen aus vertrauenswürdiger Domäne in Zugriffsrichtlinien wie folgt hinzugefügt werden:

Navigieren Sie zu GUI —> Web Security Manager —> Zugriffsrichtlinien —> <Policy Name> —> Selected Groups and Users —> Groups
Geben Sie manuell den gesamten Gruppennamen zusammen mit dem Domänennamen in das Feld "Verzeichnissuche" ein.
Klicken Sie auf die Schaltfläche "Hinzufügen".
Klicken Sie auf "Fertig" und dann auf "Senden", und bestätigen Sie die Änderungen.

Beachten Sie, dass die WSA nicht mit den manuell konfigurierten Gruppen übereinstimmt, wenn die andere Domäne keine Zwei-Wege-Vertrauensbeziehung zur Domäne aufweist, der die WSA angehört.

Hinweis: Auf AsyncOS-Versionen 7.7 und höher unterstützt die WSA mehrere NTLM-Bereiche. In Szenarien, in denen keine Vertrauensbeziehung zwischen den beiden Domänen besteht, können wir einen neuen NTLM-Bereich für die zweite Domäne erstellen. Bei mehreren NTLM-Bereichen kann die WSA Gruppen aus verschiedenen Domänen innerhalb der Zugriffsrichtlinien durchsuchen.

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	24-Jul-2014	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Vladimir Sousa and Siddharth Rajpathak
Cisco TAC Engineers.