Cisco Cisco Web Security Appliance S170 사용자 가이드

思科网络安全设备 AsyncOS 8.8 用户指南

第 5 章      获取最终用户凭证        

  身份验证规划

了解透明用户识别

透明用户识别的可用方法有：

利用 ISE 透明地识别用户 - 启用身份服务引擎 (ISE) 服务 （“网络” [Network] > “身份服务
引擎” [Identity Services Engine]）时可用。对于这些事务，将从身份服务引擎服务器获取用
户名和关联的安全组标记。请参阅

利用 ASA 透明地识别用户 - 用户按从思科自适应安全设备收到的当前 IP 地址到用户名映射
进行识别 （仅适用于远程用户）。启用 AnyConnect 安全移动并与 ASA 集成时，此选项可
用。将从 ASA 获取用户名，并从网络安全设备上指定的身份验证领域或序列获取关联的目
录组。请参阅

。

利用身份验证领域透明地识别用户 - 当一个或多个身份验证领域配置为支持使用下述某种身
份验证服务器透明识别时，此选项可用：

Active Directory - 创建 NTLM 或 Kerberos 身份验证领域并启用透明用户识别。此外，
还必须部署一个独立的 Active Directory 代理，例如思科的 Context Directory 代理。
有关详细信息，请参阅

。

LDAP - 创建一个配置为 eDirectory 的 LDAP 身份验证领域，并启用透明用户识别。有
关详细信息，请参阅

AsyncOS for Web 定期与 eDirectory 或 Active Directory 代理通信，以维护匹配通过身份
验证的用户名与其当前 IP 地址的映射。

利用 Active Directory 进行透明用户识别

Active Directory 记录用户登录信息的格式不便于网络安全设备等其他系统查询。如要在 Active 
Directory 安全事件日志中查询已通过身份验证的用户的相关信息，思科的 Context 
Directory 代理 (CDA) 等 Active Directory 代理必不可少。

AsyncOS for Web 与 Active Directory 代理通信，以保留一份 IP 地址到用户名映射的本地副
本。 AsyncOS for Web 需要关联 IP 地址与用户名时，首先会检查该映射的本地副本。如果未找
到匹配项，则会查询 Active Directory 代理查找匹配项。

有关 Active Directory 代理安装与配置的详细信息，请参阅

利用 Active Directory 透明地识别用户时，请注意：

利用 Active Directory 透明地识别用户仅可与 NTLM 或 Kerberos 身份验证方案配合使用。
不得与对应于 Active Directory 实例的 LDAP 身份验证领域配合使用。

透明用户识别可与 Active Directory 代理支持的 Active Directory 版本配合使用。

您可以在不同的计算机上安装 Active Directory 代理第二个实例，以实现高可用性。如此一
来，每个 Active Directory 代理都独立于另一代理维护 IP 地址到用户名的映射。如果主代
理 3 次 ping 不通， AsyncOS for Web 则会使用备用 Active Directory 代理。

Active Directory 代理与网络安全设备的通信采用按需模式。

Active Directory 代理将用户注销消息推送至网络安全设备。有时，某些用户注销消息不会记
录于 Active Directory 安全日志中。如果客户端计算机崩溃或用户未注销即关闭计算机，就
可能出现这种情况。如果安全日志中没有用户注销消息，Active Directory 代理即无法通知设
备该 IP 地址已不再分配给该用户。要杜绝这种可能性，您可以定义不再有来自 Active 
Directory 代理的更新时 AsyncOS 缓存 IP 地址到用户映射的时长。有关详细信息，请参阅

Active Directory 代理会记录通过某特定 IP 地址登录的每位用户的 

sAMAccountName

，以确保

用户名唯一。