Cisco Cisco Web Security Appliance S170 사용자 가이드
5-13
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证领域
故障排除工具
用于查看和清除 Kerberos 票证缓存的 KerbTray 或 klist(皆属于 Windows Server 资源套件)。
用于查看和编辑 Active Directory 的
用于查看和编辑 Active Directory 的
。Wireshark 是可用于网络故障排
除的数据包分析器。
下一步
•
创建一个使用 Kerberos 身份验证方案的标识配置文件。
。
创建一个 Active Directory 身份验证领域 (NTLMSSP 和基础)
准备工作
•
确保您拥有将网络安全设备加入到要根据其完成身份验证的 Active Directory 域所需的权限
和域信息。
和域信息。
•
如果您计划使用 “domain”作为 NTLM 安全模式,仅可使用 Active Directory 嵌套组。
如果 Active Directory 组未嵌套,则使用默认值 “ads”。请参阅本指南 “命令行界面”附
录中的
如果 Active Directory 组未嵌套,则使用默认值 “ads”。请参阅本指南 “命令行界面”附
录中的
•
将网络安全设备上的当前时间与 Active Directory 服务器上的当前时间进行比较,验证差异
不超过 Active Directory 服务器 “计算机时钟同步最高容差” (Maximum tolerance for
computer clock synchronization) 选项指定的时间。如果安全管理设备托管网络安全设备,
请做好准备,确保不同网络安全设备上相同名称的身份验证领域在每个设备上都有一致的已
定义属性。请注意,确认新领域后即无法更改领域的身份验证协议。
不超过 Active Directory 服务器 “计算机时钟同步最高容差” (Maximum tolerance for
computer clock synchronization) 选项指定的时间。如果安全管理设备托管网络安全设备,
请做好准备,确保不同网络安全设备上相同名称的身份验证领域在每个设备上都有一致的已
定义属性。请注意,确认新领域后即无法更改领域的身份验证协议。
•
对于 NTLMSSP,可在客户端浏览器上配置单点登录 (SSO)。请参阅
。
使用多个 NTLM 领域和域
下述规则适用于使用多个 NTLM 领域和域:
•
最多可创建 10 个 NTLM 身份验证领域。
•
一个 NTLM 领域中的客户端 IP 地址不得与另一 NTLM 领域的客户端 IP 地址重叠。
•
每个 NTLM 领域只能加入一个 Active Directory 域,但可以通过该域信任的任何域对用户
进行身份验证。默认情况下,此信任也适用于同一域林中的其他域,以及虽在域林之外、但
至少还存在单向信任的域。
进行身份验证。默认情况下,此信任也适用于同一域林中的其他域,以及虽在域林之外、但
至少还存在单向信任的域。
•
创建其他 NTLM 领域,以对不为现有 NTLM 领域信任的域中的用户进行身份验证。
步骤 1
选择网络 (Network) > 身份验证 (Authentication)。
步骤 2
点击添加领域 (Add Realm)。
步骤 3
为身份验证领域分配一个唯一的名称,只可包含字母数字及空格字符。
步骤 4
在 “身份验证协议和方案” (Authentication Protocol and Scheme[s]) 字段中选择 Active
Directory。
Directory。
步骤 5
最多为 Active Directory 服务器输入三个完全限定域名或 IP 地址。
例如:
active.example.com
。
只有在设备配置的 DNS 服务器无法解析 Active Directory 服务器主机名的情况下,才需要 IP
地址。
地址。
领域中配置多个验证服务器时,在该领域内事务授权失败之前,设备最多会尝试使用 3 个身份验
证服务器进行授权。
证服务器进行授权。