Cisco Cisco Web Security Appliance S190 Guía Del Usuario
5-3
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证规划
Active Directory/Kerberos
显式转发
透明,基于 IP 的缓存
透明,基于 Cookie 的缓存
优势:
•
比 NTLM 更高的性能和互通性
•
与已加入域的 Windows 和非
Windows 客户端配合使用
Windows 客户端配合使用
•
所有浏览器和大多数其他应用都
支持
支持
•
基于 RFC
•
最低开销
•
适用于 HTTPS
(CONNECT) 请求
(CONNECT) 请求
•
由于密码不传输到身份验证服务
器,所以更安全
器,所以更安全
•
对连接进行身份验证,而非主机
或 IP 地址
或 IP 地址
•
当客户端应用配置为信任网络
安全设备时,可实现 Active
Directory 环境下真正的单点
登录
安全设备时,可实现 Active
Directory 环境下真正的单点
登录
优势:
•
比 NTLM 更高的性能和互通性
•
与已加入域的 Windows 和非
Windows 客户端配合使用
Windows 客户端配合使用
•
适用于全部主流浏览器
•
用户代理不支持身份验证,用户
只需先在某个受支持的浏览器中
完成身份验证即可
只需先在某个受支持的浏览器中
完成身份验证即可
•
开销相对较低
•
如果用户此前已利用 HTTP 请求
完成身份验证,则适用于 HTTPS
请求
完成身份验证,则适用于 HTTPS
请求
优势:
•
比 NTLM 更高的性能和互通性
•
与已加入域的 Windows 和非
Windows 客户端配合使用
Windows 客户端配合使用
•
适用于全部主流浏览器
•
身份验证与用户关联,而非与主
机或 IP 地址关联
机或 IP 地址关联
缺点:
•
因为 Cookie 为域特定,每个新
的网络域都要完成整个身份验证
过程
的网络域都要完成整个身份验证
过程
•
需要启用 Cookie
•
不适用于 HTTPS 请求