سؤال
- لماذا يتم تسجيل أسماء أجهزة الكمبيوتر أو أسماء المستخدمين NULL في سجلات الوصول؟
- كيف يمكنك التعرف على الطلبات التي تستخدم بيانات اعتماد WORKSTATION أو NULL لإعفاء المصادقة لاحقا؟
البيئة
- جهاز أمان الويب (WSA) من Cisco - جميع الإصدارات
- نظام المصادقة NTLMSSP مع بدائل IP
- Windows Vista وأنظمة تشغيل Microsoft الجديدة لسطح المكتب والجوال
الأعراض
يحظر WSA الطلبات من بعض المستخدمين أو يتصرف بشكل غير متوقع.
تعرض سجلات الوصول أسماء أجهزة الكمبيوتر أو اسم المستخدم الفارغ والمجال بدلا من معرف المستخدم.
تحل المشكلة بعد:
- تبديل المهلة (القيمة الافتراضية لمهلة الاستبدال هي 60 دقيقة)
- إعادة تشغيل عملية الوكيل (أمر CLI) > التشخيص > الوكيل > Kick)
- مسح ذاكرة التخزين المؤقت للمصادقة (أمر CLI > authcache > flushall)
معلومات أساسية
في الإصدارات الأخيرة من نظام تشغيل Microsoft، لم يعد مطلوبا أن يقوم المستخدم الفعلي بتسجيل الدخول بعد الآن للتطبيقات لإرسال الطلبات إلى الإنترنت. عند تلقي هذه الطلبات بواسطة WSA وطلب مصادقتها، لا تتوفر أي بيانات اعتماد للمستخدم لاستخدامها للمصادقة بواسطة محطة عمل العميل والتي بدلا من ذلك قد تأخذ اسم جهاز الكمبيوتر كبديل.
سيأخذ WSA اسم الجهاز المقدم ويعيد توجيهه إلى Active Directory (AD) الذي يتحقق من صحته.
باستخدام مصادقة صالحة، يقوم WSA بإنشاء بديل IP يربط اسم محطة عمل الجهاز بعنوان IP لمحطة العمل. ستستخدم الطلبات الإضافية الواردة من نفس IP اسم محطة العمل البديل.
نظرا لأن اسم محطة العمل ليس عضوا في أي مجموعة AD، فقد لا تؤدي الطلبات إلى تشغيل نهج الوصول المتوقع وبالتالي يتم حظرها. تستمر المشكلة حتى تنتهي مهلة البديل ويجب تجديد المصادقة. في هذه المرة، ومع وجود مستخدم فعلي سجل الدخول ومسوغات مستخدم صالحة، سيتم إنشاء بديل IP جديد بهذه المعلومات وستتطابق الطلبات الإضافية مع نهج الوصول المتوقع.
يظهر سيناريو آخر عندما ترسل التطبيقات بيانات اعتماد غير صحيحة (اسم مستخدم NULL ومجال NULL) وبيانات اعتماد جهاز NOT صالحة. يعتبر هذا فشلا في المصادقة وسيتم حظره أو في حالة تمكين نهج الضيف، تعتبر المصادقة الفاشلة "ضيفا".
ينتهي اسم محطة العمل ب $ متبوعا ب @domain الذي يجعل من السهل تتبع أسماء محطات العمل باستخدام أمر واجهة سطر الأوامر (CLI) grep على سجلات الوصول ل $@. انظر المثال التالي للتوضيح.
> grep $@ accesslogs
1332164800.0000 9 10.20.30.40 TCP_DENIED/403 5608 GET http://www.someURL.com
"gb0000d01$@DOMAIN" NONE/- - BLOCK_WEBCAT_11-DefaultGroup-Internet-NONE-NONE-
NONE-NONE <-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -
يوضح السطر أعلاه مثالا لبديل IP تم إنشاؤه بالفعل لعنوان IP 10.20.30.40 واسم الجهاز gb0000d01$.
للعثور على الطلب الذي أرسل اسم الجهاز، يجب تحديد التكرار الأول لاسم محطة العمل لعنوان IP المحدد. يقوم أمر واجهة سطر الأوامر (CLI) التالي بتحقيق هذا:
> grep 10.20.30.40 -p accesslogs
ابحث في نتيجة أول تكرار لاسم محطة العمل. تعتبر الطلبات الثلاثة الأولى عموما مصافحة NTLM Single-Sin-On (NTLMSSP/NTLMSSP) كما هو موضح هنا ومبين في المثال التالي:
1335248044.836 0 10.20.30.40 TCP_DENIED/407 1733 GET http://SomeOtherURL.com -
NONE/- - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-NONE
<-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -
1335248044.839 0 10.20.30.40 TCP_DENIED/407 483 GET http://SomeOtherURL.com -
NONE/- - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-NONE
<-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -
1335248044.845 10 10.20.30.40 TCP_DENIED/403 2357 GET http://SomeOtherURL.com
"gb0000d01$@DOMAIN" NONE/- - BLOCK_ADMIN_PROTOCOL_11-DefaultGroup-DefaultGroup-
DefaultGroup-NONE-NONE-NONE
<-,-,"-","-",-,-,-,"-","-",-,-,"-",-,"-","-",-,"-","-","-","-","-","-",
0.00,0,-,"-","-"> -
عند أستكشاف الأخطاء وإصلاحها، تأكد من أن هذه الطلبات هي لنفس عنوان URL وتم تسجيلها في فترة زمنية قصيرة جدا تشير إلى أنها مصافحة NTLMSSP مؤتمتة.
في المثال أعلاه، يتم تسجيل الطلبات السابقة باستخدام رمز إستجابة HTTP رقم 407 (يلزم توفر مصادقة الوكيل) للطلبات الصريحة، بينما يتم تسجيل الطلبات الشفافة باستخدام رمز إستجابة HTTP رقم 401 (غير مصدق).
هناك ميزة جديدة متوفرة على AsyncOS 7.5.0 والإصدارات الأعلى حيث يمكنك تحديد مهلة بديلة مختلفة لبيانات اعتماد الجهاز. يمكن تكوينها باستخدام الأمر التالي:
> advancedproxyconfigChoose a parameter group:- AUTHENTICATION - Authentication
related parameters- CACHING - Proxy Caching related parameters- DNS - DNS related
parameters- EUN - EUN related parameters- NATIVEFTP - Native FTP related parameters-
FTPOVERHTTP - FTP Over HTTP related parameters- HTTPS - HTTPS related parameters-
SCANNING - Scanning related parameters- WCCP - WCCPv2 related parameters-
MISCELLANEOUS - Miscellaneous proxy relatedparameters[]> AUTHENTICATION...Enter the
surrogate timeout.[3600]>Enter the surrogate timeout for machine credentials.[10]>.
يمكنك إستخدام الخطوات نفسها للكشف عن أي طلبات تتلقى بيانات اعتماد NULL مرسلة واكتشاف عنوان URL أو "عميل المستخدم" الذي يقوم بإرسال بيانات الاعتماد غير الصالحة وإعفائها من المصادقة.
إستثناء عنوان URL من المصادقة
لمنع إنشاء هذا الطلب، يجب إستثناء عنوان URL من المصادقة. أو بدلا من إستثناء عنوان URL من المصادقة، قد تقرر إستثناء التطبيق الذي يرسل الطلب نفسه من المصادقة، مع التأكد من الحصول على أي طلبات لإعفاء التطبيق من المصادقة. ويمكن تحقيق ذلك من خلال إضافة "عامل المستخدم" لتسجيل الدخول إلى سجلات الوصول عن طريق إضافة المعلمة الإضافية ٪u في الحقول المخصصة الاختيارية في اشتراك سجل الوصول الخاص ب WSA. بعد تحديد "وكيل المستخدم"، يجب إعفاؤه من المصادقة.