Cisco Cisco Web Security Appliance S360 User Guide
5-11
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证领域
为 Kerberos 身份验证方案创建一个 Active Directory 领域
准备工作
•
确保在标准模式 (而非云连接器模式)下配置设备。
•
准备 Active Directory 服务器。
–
在下述某款服务器上安装 Active Directory:Windows Server 2003、 2008、 2008R2
或 2012。
或 2012。
–
在属于域管理员的 Active Directory 服务器上创建一个用户。
–
将您的客户端加入该域。支持的客户端包括 Windows XP、Windows 7 和 Mac OS 10.5
及更高版本。
及更高版本。
–
利用 Windows 资源套件中的 kerbtray 工具,验证 Kerberos 的客户端票证:
http://www.microsoft.com/en-us/download/details.aspx?id=17657。
http://www.microsoft.com/en-us/download/details.aspx?id=17657。
–
可通过主菜单 > “密钥串访问” (KeyChain Access),查看 Kerberos 票证,访问 Mac
客户端上的票证查看应用。
客户端上的票证查看应用。
•
确保您拥有将网络安全设备加入到要根据其完成身份验证的 Active Directory 域所需的权限
和域信息。
和域信息。
•
将网络安全设备上的当前时间与 Active Directory 服务器上的当前时间进行比较,验证差异
不超过 Active Directory 服务器 “计算机时钟同步最高容差” (Maximum tolerance for
computer clock synchronization) 选项指定的时间。
不超过 Active Directory 服务器 “计算机时钟同步最高容差” (Maximum tolerance for
computer clock synchronization) 选项指定的时间。
•
如果安全管理设备托管网络安全设备,请做好准备,确保不同网络安全设备上相同名称的身
份验证领域在每个设备上都有一致的已定义属性。
份验证领域在每个设备上都有一致的已定义属性。
•
网络安全设备配置:
–
称相同。
–
在透明模式下, WSA 主机名必须与重定向主机名相同 (请参阅
)。此外,必须先完成 WSA 主机名和重定向主机名配置,才能创建
Kerberos 领域。
•
请注意,确认新领域后即无法更改领域的身份验证协议。
•
请注意,必须在客户端浏览器完成单点登录 (SSO) 配置;请参阅
步骤 1
在思科网络安全设备 Web 界面中,选择网络 (Network) > 身份验证 (Authentication)。
步骤 2
点击添加领域 (Add Realm)。
步骤 3
为身份验证领域分配一个唯一的名称,只可包含字母数字及空格字符。
步骤 4
选择 “身份验证协议” (Authentication Protocol) 字段中的 Active Directory。
步骤 5
最多为 Active Directory 服务器输入三个完全限定域名或 IP 地址。
例如:
ntlm.example.com
。
只有在设备配置的 DNS 服务器无法解析 Active Directory 服务器主机名的情况下,才需要 IP
地址。
地址。
领域中配置多个验证服务器时,在该领域内事务授权失败之前,设备最多会尝试使用 3 个身份验
证服务器进行授权。
证服务器进行授权。