Cisco Cisco Web Security Appliance S670 User Guide

authentication realms defined in the applicable Identity group, and if the new 
credentials allow greater access, the requested page appears in the browser. For 
more information, see 

.

The Web Proxy evaluates the new credentials against the authentication realms 
defined in the applicable Identity group only. It does not compare them against all 
other Identity groups. 

When a more privileged user authenticates and gets access, the Web Proxy caches 
the privileged user identity for different amounts of time depending on the 
authentication surrogates configured:

Session cookie. The privileged user identity is used until the browser is 
closed or the session times out.

Persistent cookie. The privileged user identity is used until the surrogate 
times out.

IP address. The privileged user identity is used until the surrogate times out.

No surrogate. The Web Proxy requests authentication for every new 
connection, but most browsers will cache the privileged user credentials and 
authenticate without prompting the user until the browser is closed. However, 
because the Web Proxy requests authentication for every new connection, 
there is an increased impact on the authentication server when using 
NTLMSSP. 

To use the re-authentication feature with user defined end-user notification pages, 
the CGI script that parses the redirect URL must parse and use the Reauth_URL 
parameter. For more information, see 

When you enable re-authentication and clients use Microsoft Internet Explorer, 
you need to verify certain settings to ensure re-authentication works properly with 
Internet Explorer. Due to a known issue with Internet Explorer, re-authentication 
does not work properly under the following circumstances:

Internet Explorer is configured to use the Web Security appliance as a proxy.