Cisco Cisco Web Security Appliance S690 User Guide
6-4
思科网络安全设备 AsyncOS 8.8 用户指南
第 6 章 最终用户和客户端软件分类
用户和客户端软件分类
有三类方法:免除身份验证/识别、验证用户身份以及通过三种方式透明识别用户:ISE、 ASA
(通过 AnyConnect 安全移动)或已正确配置的身份验证领域。后者包括一个 Active Directory
领域或配置为 Novell eDirectory 的 LDAP 领域。
a.
在用户识别方法 (User Identification Method) 下拉列表中,选择一种识别方法。
注
当至少配置了一个具有身份验证或透明识别的标识配置文件时,策略表将支持使用用户
名、目录组和安全组标记来定义策略成员。
名、目录组和安全组标记来定义策略成员。
b.
为所选的方法提供适合的参数。并非每个所选的方法都会出现此表中介绍的所有选项。
选项
说明
免除身份验证/识别
(Exempt from
authentication/
identification)
(Exempt from
authentication/
identification)
用户主要通过 IP 地址识别。无需提供额外参数。
对用户进行身份验证
(Authenticate users)
(Authenticate users)
用户通过其输入的身份验证凭证识别。
使用 ISE 透明地标识用户
(Transparently identify users
with ISE)
(Transparently identify users
with ISE)
在启用 ISE 服务 (“网络” (Network) > “身份服务引擎”
(Identity Services Engine))时可用。对于这些事务,将从身份服
务引擎获取用户名和关联的安全组标记。有关详细信息,请参阅
(Identity Services Engine))时可用。对于这些事务,将从身份服
务引擎获取用户名和关联的安全组标记。有关详细信息,请参阅
。
使用 ASA 透明地标识用户
(Transparently identify users
with ASA)
(Transparently identify users
with ASA)
用户按从思科自适应安全设备收到的当前 IP 地址到用户名的映射
进行识别 (仅适用于远程用户)。当安全移动启用并与 ASA 集成
时,将会出现此选项。将从 ASA 获取用户名,并且将从所选身份
验证领域或序列获取关联的目录组。
进行识别 (仅适用于远程用户)。当安全移动启用并与 ASA 集成
时,将会出现此选项。将从 ASA 获取用户名,并且将从所选身份
验证领域或序列获取关联的目录组。
使用身份验证领域透明地
标识用户 (Transparently
identify users with
authentication realm)
标识用户 (Transparently
identify users with
authentication realm)
当一个或多个身份验证领域配置为支持透明识别时,此选项可用。
回退到身份验证领域或访
客权限 (Fallback to
Authentication Realm or
Guest Privileges)
客权限 (Fallback to
Authentication Realm or
Guest Privileges)
如果 ISE 无法提供用户身份验证,则可以选择以下选项:
•
支持访客权限 (Support Guest Privileges) - 允许继续进行事务,
并且事务将匹配所有标识配置文件中的访客用户的后续策略。
并且事务将匹配所有标识配置文件中的访客用户的后续策略。
•
阻止事务 (Block Transactions) - 不允许 ISE 无法识别的用户访
问互联网。
问互联网。
•
支持访客权限 (Support Guest privileges) - 选中此复选框可向
因凭证无效而导致身份验证失败的用户授予访客接入权限。
因凭证无效而导致身份验证失败的用户授予访客接入权限。