Cisco Cisco Web Security Appliance S170 사용자 가이드
5-8
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证规划
•
如果某用户从计算机中注销,另一用户没有在网络安全设备上更新 IP 地址到用户名映射即
登录该计算机,则 Web 代理将此客户端记录为上一个用户。
登录该计算机,则 Web 代理将此客户端记录为上一个用户。
•
如透明用户识别失败,则可以对 Web 代理处理事务的方式进行配置。可授予用户访客接入权
限,或者强制向用户显示身份验证提示。
限,或者强制向用户显示身份验证提示。
•
如因某用户透明用户识别失败而向其显示身份验证提示,而该用户又因凭证无效而身份验证
失败,您可以选择是否允许其以访客身份接入。
失败,您可以选择是否允许其以访客身份接入。
•
当分配的标识配置文件使用包含用户的多个领域的身份验证序列时,AsyncOS for Web 会按
其在序列中的顺序从领域中获取用户组。
其在序列中的顺序从领域中获取用户组。
•
配置标识配置文件以透明地识别用户时,身份验证代理必须是 IP 地址。不能选择其他代理
类型。
类型。
•
查看用户事务详细信息时,“网络跟踪” (Web Tracking) 页面会显示已透明识别哪些用户。
•
可以利用
%m
和
x-auth-mechanism
自定义字段,在访问日志和 WC3 日志中记录透明地识别
了哪些用户。
SSO_TUI
日志条目表示用户名通过将客户端 IP 地址与使用透明用户识别完成身
份验证的用户名匹配获取。(同样,
SSO_ASA
值表示用户是远程用户,用户名通过使用
AnyConnect 安全移动的思科 ASA 获取。)
透明用户识别配置
有关配置透明用户识别和身份验证的详细信息,请参阅
骤是:
•
创建身份验证领域并对其进行排序。
•
创建标识配置文件以对用户和客户端软件进行分类。
•
创建策略以管理来自已识别用户与用户组的网络请求。
利用 CLI 配置透明用户识别高级设置
AsyncOS for Web 提供下述 TUI 相关的 CLI 命令:
•
tuiconfig
- 配置透明用户识别相关的高级设置。批量模式可用于同时配置多个参数。
–
Configure mapping timeout for Active Directory agent
- AD 代理停止更新时所检索
IP 地址对应的 IP 地址到用户映射的缓存时长 (以分钟为单位)。
–
Configure mapping timeout for Novell eDirectory
- IP 地址到用户映射可供 eDirectory
服务器停止更新时检索 IP 地址的缓存时长 (以秒为单位)。
–
Configure query wait time for Active Directory agent
- 等待 Active Directory 代理
应答的时长 (以秒为单位)。如查询用时大于该值,则视为透明用户识别失败。这可限
制最终用户遇到的身份验证延迟。
制最终用户遇到的身份验证延迟。
–
Configure query wait time for Novell eDirectory
- 等待 eDirectory 服务器应答的时
长 (以秒为单位)。如查询用时大于该值,则视为透明用户识别失败。这可限制最终用
户遇到的身份验证延迟。
户遇到的身份验证延迟。
Active Directory 设置将应用于所有使用 AD 代理进行透明用户识别的 AD 领域。eDirectory
设置适用于所有使用 eDirectory 进行透明用户识别的 LDAP 领域。
设置适用于所有使用 eDirectory 进行透明用户识别的 LDAP 领域。
如果验证因任何一项参数而失败,则不会更改任何值。