Cisco Cisco Web Security Appliance S690 User Guide
5-7
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证规划
•
客户端计算机提供给 Active Directory 服务器的客户端 IP 地址必须与网络安全设备相同。
•
AsyncOS for Web 仅搜索用户的直属父级组,不搜索嵌套组。
设置一个为网络安全设备提供信息的 Active Directory 代理
由于 AsyncOS for Web 无法直接从 Active Directory 获取客户端 IP 地址,所以须从 Active
Directory 代理获取 IP 地址到用户名映射信息。
Directory 代理获取 IP 地址到用户名映射信息。
将 Active Directory 代理安装于可访问网络安全设备且可与所有可见 Windows 域控制器通信的
联网计算机中。为了获得最佳性能,此代理应该尽可能靠近网络安全设备。在小型网络环境中,
您可能希望直接在 Active Directory 服务器上安装 Active Directory 代理。
联网计算机中。为了获得最佳性能,此代理应该尽可能靠近网络安全设备。在小型网络环境中,
您可能希望直接在 Active Directory 服务器上安装 Active Directory 代理。
注意
Active Directory 代理实例用于与网络安全设备通信,还支持包括思科自适应安全设备等在内的
其他网络安全设备设备。
其他网络安全设备设备。
思科 Context Directory 代理的获取、安装和配置
可以通过以下网址找到有关思科 Context Directory 代理的下载、安装和配置信息:
。
注意
网络安全设备与 Active Directory 代理之间的通信采用 RADIUS 协议。设备和代理必须配置相
同的共享密钥以模糊处理用户密码。其他用户属性不模糊处理。
同的共享密钥以模糊处理用户密码。其他用户属性不模糊处理。
利用 LDAP 进行透明用户识别
AsyncOS for Web 可以与配置为轻量级目录访问协议 (LDAP) 领域、维护 IP 地址到用户名映
射的 eDirectory 服务器通信。如果用户通过 eDirectory 客户端登录,则根据 eDirectory 服务
器进行身份验证。身份验证成功后,客户端 IP 地址即作为登录用户的一个属性 (
射的 eDirectory 服务器通信。如果用户通过 eDirectory 客户端登录,则根据 eDirectory 服务
器进行身份验证。身份验证成功后,客户端 IP 地址即作为登录用户的一个属性 (
网络地址
)记录
于 eDirectory 服务器中。
利用 LDAP (eDirectory) 透明地识别用户时,请注意:
•
每个客户端工作站都必须安装 eDirectory 客户端,而且最终用户必须使用此客户端基于
eDirectory 服务器进行身份验证。
eDirectory 服务器进行身份验证。
•
eDirectory 客户端登录使用的 LDAP 树必须与身份验证领域中配置的 LDAP 树相同。
•
如果 eDirectory 客户端使用多个 LDAP 树,请为每个树创建一个身份验证领域,然后再创
建一个需使用每个 LDAP 身份验证领域的身份验证序列。
建一个需使用每个 LDAP 身份验证领域的身份验证序列。
•
将 LDAP 身份验证领域配置为 eDirectory 时,必须为查询凭证指定一个绑定 DN。
•
必须对 eDirectory 服务器进行配置,以更新用户登录时用户对象的
NetworkAddress
属性。
•
AsyncOS for Web 仅搜索用户的直属父级组,不搜索嵌套组。
•
您可以使用某 eDirectory 用户的
NetworkAddress
属性来确定该用户最近登录的 IP 地址。
规定和准则
配合任何身份验证服务器使用透明用户识别时,都要注意下述规定和准则:
•
利用 DHCP 将 IP 地址分配给客户端计算机时,请确保 IP 地址到用户名映射在网络安全设
备上的更新频率比 DHCP 租约的更新频率高。使用
备上的更新频率比 DHCP 租约的更新频率高。使用
tuiconfig
CLI 命令更新映射更新间隔。
有关详细信息,请参阅