Cisco Cisco Web Security Appliance S390 ユーザーガイド
![Cisco](https://files.manualsbrain.com/attachments/7380d0050044647c30f5c24bbbf5d0c0b6d9bb84/common/fit/150/50/faa183d287233c52228cfea3dbc2a127fe780f60564fcb0955d9c3d1cd23/brand_logo.png)
5-18
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证领域
步骤 7
(可选)用户外部 LDAP 身份验证配置
a.
选择外部身份验证查询 (External Authentication Queries)。
b.
识别用户帐户:
c.
(可选)根据 RFC 2307 帐户过期 LDAP 属性,拒绝登录到过期的帐户。
d.
提供一个用于检索用户组信息的查询。
如果用户属于具有不同用户角色的多个 LDAP 组, AsyncOS 向用户授予最高限制角色权限。
步骤 8
(可选)点击开始测试 (Start Test)。这将测试您输入的设置,在实际用户使用它们进行身份验证
之前确保其正确性。有关执行测试的详细信息,请参阅
。
注意
提交并确认更改后,无法再更改领域的身份验证协议。
步骤 9
提交并确认更改。
后续步骤
•
创建一个使用 Kerberos 身份验证方案的标识配置文件。
。
相关主题
•
使用多个 NTLM 领域和域
下述规则适用于使用多个 NTLM 领域和域:
•
最多可创建 10 个 NTLM 身份验证领域。
•
一个 NTLM 领域中的客户端 IP 地址不得与另一 NTLM 领域的客户端 IP 地址重叠。
•
每个 NTLM 领域只能加入一个 Active Directory 域,但可以通过该域信任的任何域对用户
进行身份验证。默认情况下,此信任也适用于同一域林中的其他域,以及虽在域林之外、但
至少还存在单向信任的域。
进行身份验证。默认情况下,此信任也适用于同一域林中的其他域,以及虽在域林之外、但
至少还存在单向信任的域。
•
创建其他 NTLM 领域,以对不为现有 NTLM 领域信任的域中的用户进行身份验证。
基本 DN
导航到 LDAP 目录树的正确位置后开始搜索的基本 DN。
查询字符串
返回身份验证组集合的查询,例如:
(&(objectClass=posixAccount)(uid={u}))
或
(&(objectClass=user)(sAMAccountName={u}))
包含用户全名的属性
LDAP 属性,例如,
displayName
或
gecos
。
基本 DN
导航到 LDAP 目录树的正确位置后开始搜索的基本 DN。
查询字符串
(&(objectClass=posixAccount)(uid={u}))
包含用户全名的属性
gecos