Teamviewer não trabalha sobre WSA no modo transparente quando a autenticação é permitida

Pergunta

Por que o agente de Teamviewer não trabalha quando a autenticação é permitida na Segurança Aplliance da Web de Cisco (WSA)?

Ambiente

Ferramenta de segurança da Web de Cisco (WSA), e alguma versão de AsyncOS.

Sintomas

Os tempos do agente de Teamviewer para fora e as entradas das mostras dos accesslogs que contêm 401 ou 407 erros que indicam a “autenticação de proxy exigiram”.

Os agentes de Teamviewer não trabalham com autenticação - significado quando os pedidos WSA para a autenticação do aplicativo de TeamViewer, o aplicativo não podem fornecer as credenciais do domínio. Assim é necessário exclui-lo da autenticação.

A isenção da autenticação é exigida se WSA é configurado para usar Cookie como substitutos nas identidades (GUI > gerenciador de segurança > identidades da Web).

Se as identidades são configuradas aos substitutos do endereço IP de Um ou Mais Servidores Cisco ICM NT, a seguir as etapas abaixo não podem ser exigidas porque as credenciais do cliente são postas em esconderijo por um período igual ao intervalo substituto (padrão = 1 hora) uma vez que elas alcançam alguns Web site usando seu navegador.

• Nota: No modo explícito (usando ajustes do proxy do arquivo ou de navegador PAC), assegure-se de por favor que a aplicação os mesmos ajustes substitutos à opção dianteira explícita dos pedidos esteja verificada
• Nós podemos ainda usar as etapas abaixo para contornear a autenticação se nós vemos intermitentemente 401s/407s em logs do acesso ao alcançar Teamviewer.

Para configurar a isenção da autenticação para Teamviewer, siga por favor estas etapas:

Passo 1: Crie uma categoria do costume URL

O agente de Teamviewer conecta aos server diferentes com os endereços IP de Um ou Mais Servidores Cisco ICM NT diferentes, assim que é necessário estabelecer algumas expressões regulares.

1. Navegue à Web GUI > gerenciador de segurança da Web > categorias feitas sob encomenda URL.
   
   
2. Clique o botão feito sob encomenda da categoria adicionar….
   
   
3. Escolha um nome da categoria.
   
   
4. Nos locais coloque, entre no seguinte:  .teamviewer.com, dyngate.com.
   
   
5. O clique avançado e no campo das expressões regulares, adiciona o seguinte: 
   ruído \ .aspx  
   dout \ .aspx
   
   
6. Submeta e comprometa suas mudanças.

Passo 2: Adicionar uma identidade nova

1. Navegue à Web GUI > gerenciador de segurança > identidades da Web.
   
   
2. Clique o botão da identidade adicionar….
   
   
3. Crie a identidade sem a autenticação.
   
   
4. Clique o menu suspenso avançado e não clique então o nenhuns link selecionado à direita das categorias URL.
   
   
5. Adicionar a categoria recém-criado do costume URL (veja por favor acima) à identidade selecionando a fileira correta.
   
   
6. Submeta e comprometa suas mudanças.

Passo 3: Adicionar a identidade nova a uma política de acesso

Há duas possibilidades para fazer isto; você pode usar uma política de acesso existente ou criar um novo.

Workaround para usar uma política de acesso existente

1. Navegue à Web GUI > gerenciador de segurança > políticas de acesso da Web.
2. Para a política de acesso nomeie onde o costume URL deve ser permitido, clicam o link sob a coluna das categorias URL.
   
   
3. Clique o link do [include] na categoria feita sob encomenda recém-criado, e ajuste a ação para reservar ou monitorar.
   
   
4. Submeta e comprometa suas mudanças.

Workaround para usar uma política de acesso nova

1. Navegue à Web GUI > gerenciador de segurança > políticas de acesso da Web.
   
   
2. Clique sobre o botão da política adicionar….
   
   
3. Escolha um <Policy Name>.
   
   
4. Clique sobre as identidades e os usuários deixam cair para baixo a lista e escolhem a identidade recém-criado.
   
   
5. Submeta e comprometa suas mudanças.