Cisco Cisco Web Security Appliance S390 ユーザーガイド

Cisco

5-18

思科网络安全设备 AsyncOS 8.8 用户指南

第 5 章获取最终用户凭证

身份验证领域

步骤 7

（可选）用户外部 LDAP 身份验证配置

a.

选择外部身份验证查询 (External Authentication Queries)。

b.

识别用户帐户：

c.

（可选）根据 RFC 2307 帐户过期 LDAP 属性，拒绝登录到过期的帐户。

d.

提供一个用于检索用户组信息的查询。

如果用户属于具有不同用户角色的多个 LDAP 组， AsyncOS 向用户授予最高限制角色权限。

步骤 8

（可选）点击开始测试 (Start Test)。这将测试您输入的设置，在实际用户使用它们进行身份验证

之前确保其正确性。有关执行测试的详细信息，请参阅

创建其他 NTLM 领域，以对不为现有

NTLM 领域信任的域中的用户进行身份验证。（第 5-18 页）

。

注意

提交并确认更改后，无法再更改领域的身份验证协议。

步骤 9

提交并确认更改。

后续步骤

•

创建一个使用 Kerberos 身份验证方案的标识配置文件。

用户和客户端软件分类（第 6-3 页）

。

相关主题

•

外部身份验证（第 5-10 页）

使用多个 NTLM 领域和域

下述规则适用于使用多个 NTLM 领域和域：

•

最多可创建 10 个 NTLM 身份验证领域。

•

一个 NTLM 领域中的客户端 IP 地址不得与另一 NTLM 领域的客户端 IP 地址重叠。

•

每个 NTLM 领域只能加入一个 Active Directory 域，但可以通过该域信任的任何域对用户
进行身份验证。默认情况下，此信任也适用于同一域林中的其他域，以及虽在域林之外、但
至少还存在单向信任的域。

•

创建其他 NTLM 领域，以对不为现有 NTLM 领域信任的域中的用户进行身份验证。

基本 DN

导航到 LDAP 目录树的正确位置后开始搜索的基本 DN。

查询字符串

返回身份验证组集合的查询，例如：

(&(objectClass=posixAccount)(uid={u}))

或

(&(objectClass=user)(sAMAccountName={u}))

包含用户全名的属性

LDAP 属性，例如，

displayName

或

gecos

。

基本 DN

导航到 LDAP 目录树的正确位置后开始搜索的基本 DN。

查询字符串

(&(objectClass=posixAccount)(uid={u}))

包含用户全名的属性

gecos