Cisco Cisco Web Security Appliance S390 ユーザーガイド
5-21
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证领域
重定向主机名
(Redirect Hostname)
(Redirect Hostname)
根据 Web 代理的传入连接侦听,输入网络接口的短主机名。
在透明模式下部署的设备上配置身份验证时, Web 代理会在发往客户
端以验证用户身份的重新定向 URL 中使用该主机名。
端以验证用户身份的重新定向 URL 中使用该主机名。
您可以输入下述任一值:
•
单个单词的主机名。您可以输入可由客户端和网络安全设备进行
DNS 解析的单个单词的主机名。如此客户端即利用 Internet
Explorer 实现真正的单点登录,无需其他浏览器端设置。请确保
输入可由客户端和网络安全设备进行 DNS 解析的单个单词的
主机名。
例如,如果您的客户端是在域
DNS 解析的单个单词的主机名。如此客户端即利用 Internet
Explorer 实现真正的单点登录,无需其他浏览器端设置。请确保
输入可由客户端和网络安全设备进行 DNS 解析的单个单词的
主机名。
例如,如果您的客户端是在域
mycompany.com
中,并且 Web 代理
侦听的接口具有一个完整的主机名
proxy.mycompany.com
,则应该
在该字段中输入
proxy
。客户端执行
proxy
查找,且应具备解析
proxy.mycompany.com
的能力。
•
完全限定域名 (FQDN)。也可以在该字段中输入 FQDN 或 IP 地
址。但是,这种情况下如果还想实现 Internet Explorer 和 Firefox
浏览器真正的单点登录,则必须确保已将 FQDN 或 IP 地址添加
到客户端浏览器列出的 “可信站点” (Trusted Sites) 中。根据代
理通信所用的接口,默认值为 M1 或 P1 接口的 FQDN。
址。但是,这种情况下如果还想实现 Internet Explorer 和 Firefox
浏览器真正的单点登录,则必须确保已将 FQDN 或 IP 地址添加
到客户端浏览器列出的 “可信站点” (Trusted Sites) 中。根据代
理通信所用的接口,默认值为 M1 或 P1 接口的 FQDN。
凭证缓存选项:
代理超时 (Surrogate
Timeout)
Timeout)
此设置指定 Web 代理再次向客户端请求身份验证凭证之前的等待时
长。Web 代理使用代理中的存储值(IP 地址或 Cookie),直到再次请
求凭证。
长。Web 代理使用代理中的存储值(IP 地址或 Cookie),直到再次请
求凭证。
浏览器等用户代理通常会缓存身份验证凭证,所以无需每次都提示用
户输入凭证。
户输入凭证。
凭证缓存选项:
客户端 IP 空闲超时时
间 (Client IP Idle
Timeout)
间 (Client IP Idle
Timeout)
IP 地址用作身份验证代理时,此设置指定 Web 代理在客户端闲置时
再次请求身份验证凭证之前的等待时长。
再次请求身份验证凭证之前的等待时长。
如果该值大于 “代理超时” (Surrogate Timeout) 值,则此设置没有影
响,且会在达到 “代理超时” (Surrogate Timeout) 后提示身份验证。
响,且会在达到 “代理超时” (Surrogate Timeout) 后提示身份验证。
您可能需要使用此设置来减少那些离开计算机的用户的漏洞。
凭证缓存选项:
缓存大小 (Cache
Size)
Size)
指定身份验证缓存中存储条目的数量。设置该值以足够容纳使用此设
备的实际用户数。推荐采用默认值设置。
备的实际用户数。推荐采用默认值设置。
用户会话限制 (User
Session Restrictions)
Session Restrictions)
此设置指定已通过身份验证的用户是否可通过多个 IP 地址同时访问互
联网。
联网。
您可能需要限制对某计算机的访问,以防止用户与非授权用户共享其
身份验证凭证。阻止某用户在不同的计算机上登录时,会显示一个最
终用户通知页面。您可以利用此页面上 “重新进行身份验证”
(Re-authentication) 设置,选择用户可否点击某个按钮以不同的用户
名登录。
身份验证凭证。阻止某用户在不同的计算机上登录时,会显示一个最
终用户通知页面。您可以利用此页面上 “重新进行身份验证”
(Re-authentication) 设置,选择用户可否点击某个按钮以不同的用户
名登录。
如果启用此设置,请输入超时限值,确定用户在可以通过不同的 IP 地
址登录计算机之前必须等待的时长。超时限值必须大于代理超时值。
址登录计算机之前必须等待的时长。超时限值必须大于代理超时值。
您可以利用
authcache
CLI 命令删除身份验证缓存中的特定用户或所
有用户。
高级 (Advanced)
使用凭证加密或访问控制时,您可以选择设备用户是使用设备随附的
数字证书和密钥 (思科网络安全设备演示证书),还是您在此上传的
数字证书和密钥。
数字证书和密钥 (思科网络安全设备演示证书),还是您在此上传的
数字证书和密钥。
设置
说明