كيف يمكنني إعداد NTLM بشكل صحيح مع SSO (يتم إرسال بيانات الاعتماد بشفافية)؟

خيارات التنزيل

PDF (236.7 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (85.2 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (67.5 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٥ يوليو ٢٠١٤

معرّف المستند:117934

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

سؤال:

الأعراض: يطلب المستعرض بيانات الاعتماد عند إستخدام مصادقة NTLM.

البيئة: Cisco Web Security Appliance (WSA)، جميع إصدارات AsyncOS

قد تؤثر عدة عوامل على ما إذا كان العميل يرسل بيانات الاعتماد الخاصة به تلقائيا (SSO - تسجيل الدخول الأحادي)، أو قد يطلب من المستخدم النهائي إدخال بيانات الاعتماد يدويا.
تحقق من العناصر التالية عند محاولة تنفيذ NTLM باستخدام SSO:

تكوين مصادقة WSA:

تحقق من إعداد WSA لاستخدام NTLMSSP وليس NTLM Basic فقط

يمكن العثور على هذا الإعداد على واجهة المستخدم الرسومية (GUI) تحت إدارة أمان الويب > الهويات في الصفحة. قم بتحرير الهوية المناسبة ثم تحقق من تعريف الأعضاء من خلال المصادقة > إعداد أنظمة المصادقة.

حدد أحد الخيارات التالية:

إستخدام NTLMSSP
إستخدام أساسي أو NTLMSSP
إستخدام أساسي

تمكن NTLMSSP وظائف العميل لإرسال بيانات الاعتماد بشكل آمن وشفاف إلى وكيل الويب.

يسمح NTLM Basic للعميل بإرسال اسم المستخدم وكلمة المرور في نص عادي عند مطالبته ببيانات الاعتماد.

يختار العميل أفضل طريقة متاحة عند تحديد خيار إستخدام أساسي أو NTLMSSP (مستحسن). إذا كان العميل يدعم NTLMSSP، فسيستخدم هذه الطريقة، وستستخدم جميع المستعرضات الأخرى "الأساسي". وهذا يسمح بأقصى قدر من التوافق.

ثقة العملاء:

إذا كان العميل لا يثق في WSA، فلن يرسل بيانات الاعتماد الخاصة به بشكل شفاف. فيما يلي إرشادات للمساعدة في أستكشاف أخطاء البيئات التي لا يثق فيها العميل في WSA وإصلاحها.

لا يثق العميل في URL لإعادة توجيه المصادقة (عمليات النشر الشفافة فقط)

في النشر الشفاف، يجب على WSA إعادة توجيه العميل إلى نفسه لإجراء المصادقة. قد يثق العميل بهذا الموقع المعاد توجيهه أو لا يثق فيه.

وبشكل افتراضي، تتم إعادة توجيه WSA إلى FQDN الخاص ب P1 (أو واجهة M1 إذا تم إستخدامها لبيانات الوكيل). نظرا لأن هذه شبكة FQDN، فلن يثق Internet Explorer بها، حيث أنه يعتقد أنها مورد خارج شبكته.

هناك طريقتان لجعل Internet Explorer تثق في WSA:

إضافة WSA interface FQDN إلى المواقع الموثوق بها. أختر أدوات > خيارات الإنترنت > التأمين > المواقع الموثوق بها وانقر زر المواقع.
ملاحظة: يجب تغيير هذا التكوين على كل عميل.
قم بتغيير عنوان URL لإعادة التوجيه الذي تستخدمه WSA ليكون اسم مضيف أحادي الكلمة قابل للحل DNS.

ويمكن القيام بذلك من خلال واجهة الويب. الرجاء تسجيل الدخول إلى WSA كمسؤول والانتقال إلى شبكة > مصادقة. ثم انقر على "تحرير الإعدادات العمومية ..." وقم بتعديل "اسم المضيف لإعادة توجيه المصادقة الشفافة"

إذا تعذر على WSA حل اسم المضيف هذا باستخدام DNS، ستظهر رسائل التنبيه لأخطاء التكوين. يوصى باستخدام الأمر DNSCONFIG > localhosts (ملاحظة: 'localhosts' هو أمر مخفي) وإضافة اسم المضيف هذا لحله إلى واجهة WSA المستخدمة لبيانات الوكيل.

إذا تعذر على عملائك حل اسم المضيف هذا، فلن يتمكن عملاؤك من الوكيل.

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	15-Jul-2014	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco

Josh Wolfer and Siddharth Rajpathak
Cisco TAC Engineers.