Pergunta
Por que o agente de Teamviewer não trabalha quando a autenticação é permitida na Segurança Aplliance da Web de Cisco (WSA)?
Ambiente
Ferramenta de segurança da Web de Cisco (WSA), e alguma versão de AsyncOS.
Sintomas
Os tempos do agente de Teamviewer para fora e as entradas das mostras dos accesslogs que contêm 401 ou 407 erros que indicam a “autenticação de proxy exigiram”.
Os agentes de Teamviewer não trabalham com autenticação - significado quando os pedidos WSA para a autenticação do aplicativo de TeamViewer, o aplicativo não podem fornecer as credenciais do domínio. Assim é necessário exclui-lo da autenticação.
A isenção da autenticação é exigida se WSA é configurado para usar Cookie como substitutos nas identidades (GUI > gerenciador de segurança > identidades da Web).
Se as identidades são configuradas aos substitutos do endereço IP de Um ou Mais Servidores Cisco ICM NT, a seguir as etapas abaixo não podem ser exigidas porque as credenciais do cliente são postas em esconderijo por um período igual ao intervalo substituto (padrão = 1 hora) uma vez que elas alcançam alguns Web site usando seu navegador.
- Note: No modo explícito (usando ajustes do proxy do arquivo ou de navegador PAC), assegure-se de por favor que a aplicação os mesmos ajustes substitutos à opção dianteira explícita dos pedidos esteja verificada
- Nós podemos ainda usar as etapas abaixo para contornear a autenticação se nós vemos intermitentemente 401s/407s em logs do acesso ao alcançar Teamviewer.
Para configurar a isenção da autenticação para Teamviewer, siga por favor estas etapas:
Passo 1: Crie uma categoria do costume URL
O agente de Teamviewer conecta aos server diferentes com os endereços IP de Um ou Mais Servidores Cisco ICM NT diferentes, assim que é necessário estabelecer algumas expressões regulares.
- Navegue à Web GUI > gerenciador de segurança da Web > categorias feitas sob encomenda URL.
- Clique o botão feito sob encomenda da categoria adicionar….
- Escolha um nome da categoria.
- Nos locais coloque, entre no seguinte: .teamviewer.com, dyngate.com.
- O clique avançado e no campo das expressões regulares, adiciona o seguinte:
ruído \ .aspx
dout \ .aspx
- Submeta e comprometa suas mudanças.
Passo 2: Adicionar uma identidade nova
- Navegue à Web GUI > gerenciador de segurança > identidades da Web.
- Clique o botão da identidade adicionar….
- Crie a identidade sem a autenticação.
- Clique o menu suspenso avançado e não clique então o nenhuns link selecionado à direita das categorias URL.
- Adicionar a categoria recém-criado do costume URL (veja por favor acima) à identidade selecionando a fileira correta.
- Submeta e comprometa suas mudanças.
Passo 3: Adicionar a identidade nova a uma política de acesso
Há duas possibilidades para fazer isto; você pode usar uma política de acesso existente ou criar um novo.
Workaround para usar uma política de acesso existente
- Navegue à Web GUI > gerenciador de segurança > políticas de acesso da Web.
- Para a política de acesso nomeie onde o costume URL deve ser permitido, clicam o link sob a coluna das categorias URL.
- Clique o link do [include] na categoria feita sob encomenda recém-criado, e ajuste a ação para reservar ou monitorar.
- Submeta e comprometa suas mudanças.
Workaround para usar uma política de acesso nova
- Navegue à Web GUI > gerenciador de segurança > políticas de acesso da Web.
- Clique sobre o botão da política adicionar….
- Escolha um <Policy Name>.
- Clique sobre as identidades e os usuários deixam cair para baixo a lista e escolhem a identidade recém-criado.
- Submeta e comprometa suas mudanças.