Pergunta:
Por que não posso eu encontrar grupos AD para domínios confiável ao fazer uma pesquisa de diretório nas políticas de acesso?
Ambiente: Ferramenta de segurança da Web de Cisco (WSA), autenticação de NTLM, domínios confiável
Sintomas:
- O usuário está tentando olhar acima do “um grupo diretório ativo” para usar-se como uma definição do membro da política em uma de suas políticas de acesso e o grupo não está mostrando na pesquisa de diretório.
- O grupo pertence a um domínio confiado AD e não o domínio que o WSA se juntou a.
Este comportamento é pelo projeto. Ao configurar grupos nas políticas de acesso, os grupos dos domínios confiável não aparecerão na pesquisa de diretório.
Em todas as versões de AsyncOS, WSA tem a capacidade para autenticar usuários de um domínio diferente e para combinar seus grupos respectivos AD se o outro domínio tem uma confiança em dois sentidos com o domínio juntado por WSA.
Em tal encenação, nós podemos adicionar os grupos do domínio confiável nas políticas de acesso usando as etapas abaixo:
- Consulte ao GUI --> gerenciador de segurança da Web --> políticas de acesso --> <Policy Name> --> grupos e usuários selecionados --> grupos
- Datilografe manualmente dentro o nome do grupo inteiro, junto com o Domain Name, no campo da “pesquisa de diretório”
- Clique “adicionam” o botão
- Clique feito e então submeta & comprometa as mudanças
Note que o WSA não combinará os grupos manualmente configurados se o outro domínio não tem uma relação de confiança da 2-maneira com o domínio juntado por WSA
Note: Em versões 7.7 e mais recente de AsyncOS, WSA apoia reinos múltiplos NTLM e para as encenações onde não há nenhuma relação de confiança entre os 2 domínios, nós podemos criar um reino novo NTLM para o segundo domínio. Com reinos múltiplos NTLM, WSA pode grupos da consulta dos domínios diferentes dentro das políticas de acesso.