Pourquoi ne puis-je pas trouver de groupes Active Directory pour les domaines approuvés lors d'une recherche dans le Répertoire dans les stratégies d'accès ?

Options de téléchargement

PDF (230.6 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (83.1 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (81.3 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:24 juillet 2014

ID du document:118068

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Question :

Pourquoi est-ce que je ne peux pas trouver des groupes d'AD pour les domaines de confiance tout en faisant une recherche dans le répertoire dans des stratégies d'accès ?

Environnement : L'appliance de sécurité Web de Cisco (WSA), authentification NTLM, a fait confiance à des domaines

Symptômes :

L'utilisateur essaye à la consultation par « groupe de Répertoire actif » à l'utiliser comme définition de membre de stratégie dans une de ses stratégies d'Access et le groupe n'affiche pas dans la recherche dans le répertoire.
Le groupe appartient à un domaine de confiance d'AD et pas le domaine que le WSA s'est joint à.

Ce comportement est par conception. Tout en configurant des groupes dans des stratégies d'accès, les groupes des domaines de confiance ne révéleront pas dans la recherche dans le répertoire.

Sur toutes les versions d'AsyncOS, WSA a la capacité d'authentifier des utilisateurs d'un domaine différent et d'apparier leurs groupes respectifs d'AD si l'autre domaine a une confiance bi-directionnelle avec le domaine joint par WSA.

Dans un tel scénario, nous pouvons ajouter les groupes du domaine de confiance dans des stratégies d'accès utilisant les étapes ci-dessous :

Parcourez au GUI --> gestionnaire de sécurité Web --> stratégies d'Access --> <Policy Name> --> groupes sélectionnés et utilisateurs --> groupes
Introduisez manuellement dedans le nom entier de groupe, avec le nom de domaine, dans le champ de « recherche dans le répertoire »
Cliquez sur « ajoutent » le bouton
Cliquez sur fait et puis soumettez et commettez les modifications

Notez que le WSA n'appariera pas les groupes manuellement configurés si l'autre domaine n'a pas des relations bidirectionnelles de confiance avec le domaine joint par WSA

Note: Sur des versions 7.7 et ultérieures d'AsyncOS, WSA prend en charge de plusieurs royaumes NTLM et pour des scénarios où il n'y a aucun rapport de confiance entre les 2 domaines, nous pouvons créer un nouveau royaume NTLM pour le deuxième domaine. Avec de plusieurs royaumes NTLM, WSA peut des groupes de consultation de différents domaines dans les stratégies d'accès.

Historique de révision

Révision	Date de publication	Commentaires
1.0	24-Jul-2014	Première publication

Contribution d’experts de Cisco

Vladimir Sousa and Siddharth Rajpathak
Cisco TAC Engineers.