在访问策略中执行目录搜索时,为什么找不到受信任域的AD组?

下载选项

  • PDF     (284.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (71.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (61.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 7 月 24 日
文档 ID:118068

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题:

为什么找不到可信的域的AD组,当执行在访问策略时的一个目录搜索?

环境:思科Web安全工具(WSA), NTLM验证,可信的域

症状

  • 用户尝试查寻“活动目录组”使用作为策略成员定义在他的一个访问策略中,并且组在目录搜索不显示。
  • 组属于委托AD域WSA加入而不是的域。

此行为是故意的。当配置访问策略的时组,从可信的域的组在目录搜索不会出现。


在所有AsyncOS版本,如果另一个域有与WSA,加入的域的一双向信任WSA有能力验证从一个不同的域的用户和匹配他们的各自AD组。

在这种情况下,使用下面的步骤,我们能从在访问策略的可信的域添加组:

  1. 浏览对GUI--> Web安全经理-->Access策略--> <Policy Name>-->选择组和用户--> Groups
  2. 请与域名一起手工输入整个组名,到‘目录搜索’字段
  3. 点击“添加”按钮
  4. 点击完成然后提交&确认更改

注意WSA不会匹配手工配置的组,如果另一个域没有与WSA加入的域的一个双向信任关系

注意:在AsyncOS版本7.7和以上, WSA支持多NTLM领域,并且为没有2个域之间的信任关系的方案,我们能创建第二个域的新的NTLM领域。使用多NTLM领域, WSA能从不同的域的查找组在访问策略内。

修订历史记录

版本 发布日期 备注
1.0
24-Jul-2014
初始版本
TAC Authored

由思科工程师提供

  • Vladimir Sousa and Siddharth Rajpathak
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品