如何配置WSA执行LDAP认证组策略?
目录
问题:
环境:思科Web安全工具(WSA), AsyncOS所有版本
此知识库文章参考没有维护也思科不支持的软件。 信息被提供作为礼貌为您的便利。 对于进一步协助,请联系软件供应商。
对于“工作验证的组”,我们首先需要配置验证领域下面“GUI >网络>验证”。
- 第一组“认证协议”作为‘LDAP’和导航对“组授权” (当其他部分正确地配置)。
- 指定您的“组名属性”。这是表示值显示在“Web安全经理” > “Web访问策略” > “单击添加组” > “选择组类型对验证组” > “目录查找”表下的属性。此属性需要是唯一,并且此属性需要代表的叶节点在其组中包含用户列表。
- 其次,请指定“组过滤器查询”。这是WSA使用找出LDAP目录的所有组的搜索过滤器。
- 现在,请指定“是在叶节点的属性将表示成员一个唯一值的组成员属性”。因为此属性保持此组的成员,您会看到多个条目。请确保在此属性包括的值对应于在“用户名属性”包括的值查找在同一个页。
下面示例WSA如何将使用LDAP领域配置用户名与LDAP组相符:
- 假设我们设置“组过滤器查询”为“objectClass=group”
- WSA通过LDAP目录会第一次使用此过滤器和搜索和查找结果。
- 然后,使用结果, WSA将寻找在“组成员属性”指定的属性。假设这是呼叫“成员的”属性。
- 现在,如果用户登录作为‘USERNAME_A’通过WSA代理, WSA将查寻在LDAP服务器的用户帐户,并且,如果有匹配它将使用属性指定在“用户名属性下” (示例:uid)和检查“uid”是否配比在“成员”属性列出的用户收集以上。
- 如果有匹配如果不,用户会使用策略配置的WSA然后会评估在线路的下项策略。
要看到什么使用您的LDAP服务器,属性需要配置,请参考“Softerra LDAP浏览器” http://www.ldapbrowser.com
反馈