Cisco Cisco Web Security Appliance S170 사용자 가이드
5-5
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证规划
LDAP/基本
透明地识别用户
按传统方式,系统通过提示用户输入用户名和密码来识别用户和对其进行身份验证。系统根据身
份验证服务器来验证上述凭证,Web 代理随后再根据通过身份验证的用户名,将合适的策略应用
于事务。
份验证服务器来验证上述凭证,Web 代理随后再根据通过身份验证的用户名,将合适的策略应用
于事务。
但是,您可以将网络安全设备配置为以透明方式验证用户身份,即不提示最终用户输入凭证。透
明标识通过从其他受信任来源获取的凭证对用户进行身份验证,假设用户已通过该受信任来源的
身份验证,然后应用合适的策略。
明标识通过从其他受信任来源获取的凭证对用户进行身份验证,假设用户已通过该受信任来源的
身份验证,然后应用合适的策略。
您可能希望透明地识别用户,以:
•
创建一个单点登录环境,让用户不知道网络中有代理的存在。
•
将基于身份验证的策略应用于来自无法向最终用户显示身份验证提示的客户端应用的事务。
透明地识别用户仅会影响到 Web 代理获取用户名并分配标识配置文件的方式。一般而言,无论
标识配置文件的分配方式如何, Web 代理获取用户名并分配标识配置文件之后,即应用所有其
他策略。
标识配置文件的分配方式如何, Web 代理获取用户名并分配标识配置文件之后,即应用所有其
他策略。
如果透明身份验证失败,您可以配置事务处理方式:可授予用户访客接入权限,或者强制向用户
显示身份验证提示。
显示身份验证提示。
如因某最终用户透明用户识别失败而向其显示身份验证提示,而该用户又因凭证无效而身份验证
失败,您可以选择是否允许其以访客身份接入。
失败,您可以选择是否允许其以访客身份接入。
注意
如果启用重新身份验证时事务被 URL 过滤阻止,则显示最终用户通知页面,提供以不同用户身
份登录的选项。用户点此链接则提示其进行身份验证。有关详细信息,请参阅
份登录的选项。用户点此链接则提示其进行身份验证。有关详细信息,请参阅
。
显式转发
透明
优势:
•
基于 RFC
•
比 NTLM 支持更多的浏览器
•
最低开销
•
适用于 HTTPS (CONNECT) 请求
缺点:
•
非单点登录
•
每个请求的密码均以明文形式 (Base64) 发送
解决方法:
•
优势:
•
比显式转发更加灵活。
•
比 NTLM 支持更多的浏览器
•
用户代理不支持身份验证,用户只需先在某个受支持的
浏览器中完成身份验证即可
浏览器中完成身份验证即可
•
开销相对较低
•
如果用户此前已利用 HTTP 请求完成身份验证,则适用
于 HTTPS 请求
于 HTTPS 请求
缺点:
•
非单点登录
•
密码以明文形式 (Base64) 发送
•
身份验证凭证与 IP 地址关联,而非与用户关联 (不适
用于 Citrix 和 RDP 环境;或者,用户如更改 IP 地址,
亦不适用)
用于 Citrix 和 RDP 环境;或者,用户如更改 IP 地址,
亦不适用)
解决方法:
•