Cisco Cisco Web Security Appliance S670 Mode D'Emploi

5-2

思科网络安全设备 AsyncOS 8.8 用户指南

第 5 章获取最终用户凭证

身份验证最佳实践

身份验证任务概述

身份验证最佳实践

•

尽可能少地创建 Active Directory 领域。多个 Active Directory 领域在进行身份验证时需占
用更多内存。

•

如果使用 NTLMSSP，则利用网络安全设备或上游代理服务器对用户进行身份验证，但不可
同时利用两者。（推荐网络安全设备）

•

如果使用 Kerberos，请利用网络安全设备进行身份验证。

•

为获得最佳性能，请使用单一领域对同一子网上的客户端进行身份验证。

身份验证规划

•

Active Directory/Kerberos （第 5-3 页）

•

Active Directory/基本（第 5-4 页）

•

Active Directory/NTLMSSP （第 5-4 页）

•

LDAP/基本（第 5-5 页）

•

透明地识别用户（第 5-5 页）

步骤任务

相关主题和程序链接

创建身份验证领域。

•

创建一个 Active Directory 身份验证领域

（NTLMSSP 和基础）（第 5-13 页）

•

创建一个 LDAP 身份验证领域（第 5-15 页）

配置全局身份验证设置。

•

全局身份验证设置配置（第 5-19 页）

配置外部身份验证。

您可以通过外部 LDAP 或 RADIUS 服务器对用
户进行身份验证。

•

外部身份验证（第 5-10 页）

（可选）创建其他身份验证领域并对其进行排序。

为每一个身份验证协议以及计划使用的方案组合创
建至少一个身份验证领域。

•

创建身份验证序列（第 5-24 页）

（可选）配置凭证加密。

•

凭证加密配置（第 5-31 页）

创建身份以根据身份验证要求对用户和客户端软件
进行分类。

•

用户和客户端软件分类（第 6-3 页）

创建策略以管理您为其创建身份的用户和用户组的
网络请求。

•

通过策略管理 Web 请求的最佳实践（第 10-2 页）