Cisco Cisco Web Security Appliance S690 User Guide

思科网络安全设备 AsyncOS 8.8 用户指南

第 5 章      获取最终用户凭证        

  身份验证领域

步骤 5

如果 Web 代理在显式转发模式下部署，请编辑如下设置： 

设置

说明

凭证加密 (Credential 
Encryption)

此设置指定客户端是否通过加密 HTTPS 连接向 Web 代理发送登录凭
证。要启用凭证加密，请选择 “HTTPS 重定向 （安全）” (HTTPS 
Redirect [Secure])。如果启用凭证加密，则会显示可用于配置如何将
客户端重定向到 Web 代理以进行身份验证的其他字段。

此设置适用于基本和 NTLMSSP 身份验证方案，对于以纯文本形式发
送用户凭证的基本身份验证方案尤其有用。

有关详细信息，请参阅

HTTPS 重定向端口 
(HTTPS Redirect 
Port)

为通过 HTTPS 连接验证用户身份的重定向请求指定一个可用 TCP 
端口。

这可指定客户端将通过哪个端口、利用 HTTPS 打开至 Web 代理的连
接。启用凭证加密或使用访问控制并提醒用户进行身份验证时，会出
现这种情况。

重定向主机名 
(Redirect Hostname)

根据 Web 代理的传入连接侦听，输入网络接口的短主机名。

如果启用上述身份验证模式，则 Web 代理在发往验证用户身份客户端
的重定向 URL 中使用该主机名。

您可以输入下述任一值：

单个单词的主机名。您可以输入可由客户端和网络安全设备进行 
DNS 解析的单个单词的主机名。如此客户端即利用 Internet 
Explorer 实现真正的单点登录，无需其他浏览器端设置。 
请确保输入可由客户端和网络安全设备进行 DNS 解析的单个单词
的主机名。 
例如，如果您的客户是在域 

mycompany.com

 中，并且 Web 代理侦

听的接口具有一个完整的主机名 

proxy.mycompany.com

，则应该在

该字段中输入 

proxy

。客户端执行 

proxy

 查找，且应具备解析 

proxy.mycompany.com

 的能力。

完全限定域名 (FQDN)。也可以在该字段中输入 FQDN 或 IP 地
址。但是，这种情况下如果还想实现 Internet Explorer 和 Firefox 
浏览器真正的单点登录，则必须确保已将 FQDN 或 IP 地址添加
到客户端浏览器列出的 “可信站点” (Trusted Sites) 中。 
根据代理通信所用的接口，默认值为 M1 或 P1 接口的 FQDN。

凭证缓存选项：

代理超时 (Surrogate 
Timeout)

此设置指定 Web 代理再次向客户端请求身份验证凭证之前的等待时
长。Web 代理使用代理中的存储值（IP 地址或 Cookie），直到再次请
求凭证。

请注意，浏览器等用户代理通常会缓存身份验证凭证，所以无需每次
都提示用户输入凭证。

凭证缓存选项：

客户端 IP 空闲超时时
间 (Client IP Idle 
Timeout)

IP 地址用作身份验证代理时，此设置指定 Web 代理在客户端闲置时再
次请求身份验证凭证之前的等待时长。

如果该值大于 “代理超时” (Surrogate Timeout) 值，则此设置没有影
响，且会在达到 “代理超时” (Surrogate Timeout) 后提示身份验证。

您可能需要使用此设置来减少那些离开计算机的用户的漏洞。

凭证缓存选项：

缓存大小 (Cache 
Size)

指定身份验证缓存中存储条目的数量。设置该值以足够容纳使用此设
备的实际用户数。推荐采用默认值设置。