问题:
为什么找不到可信的域的AD组,当执行在访问策略时的一个目录搜索?
环境:思科Web安全工具(WSA), NTLM验证,可信的域
症状:
- 用户尝试查寻“活动目录组”使用作为策略成员定义在他的一个访问策略中,并且组在目录搜索不显示。
- 组属于委托AD域WSA加入而不是的域。
此行为是故意的。当配置访问策略的时组,从可信的域的组在目录搜索不会出现。
在所有AsyncOS版本,如果另一个域有与WSA,加入的域的一双向信任WSA有能力验证从一个不同的域的用户和匹配他们的各自AD组。
在这种情况下,使用下面的步骤,我们能从在访问策略的可信的域添加组:
- 浏览对GUI--> Web安全经理-->Access策略--> <Policy Name>-->选择组和用户--> Groups
- 请与域名一起手工输入整个组名,到‘目录搜索’字段
- 点击“添加”按钮
- 点击完成然后提交&确认更改
注意WSA不会匹配手工配置的组,如果另一个域没有与WSA加入的域的一个双向信任关系
注意:在AsyncOS版本7.7和以上, WSA支持多NTLM领域,并且为没有2个域之间的信任关系的方案,我们能创建第二个域的新的NTLM领域。使用多NTLM领域, WSA能从不同的域的查找组在访问策略内。