Wie richte ich NTLM korrekt mit SSO ein (Anmeldeinformationen werden transparent gesendet)?

Download-Optionen

PDF (234.5 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (89.4 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (72.6 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:15. Juli 2014

Dokument-ID:117934

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Frage:

Symptome: Der Browser fordert bei Verwendung der NTLM-Authentifizierung zur Eingabe von Anmeldeinformationen auf.

Umwelt: Cisco Web Security Appliance (WSA), alle Versionen von AsyncOS

Mehrere Faktoren können sich darauf auswirken, ob der Client seine Anmeldeinformationen automatisch sendet (SSO - Single Sign On) oder den Endbenutzer auffordert, seine Anmeldeinformationen manuell einzugeben.
Überprüfen Sie beim Implementieren von NTLM mit SSO die folgenden Punkte:

Konfiguration der WSA-Authentifizierung:

Vergewissern Sie sich, dass die WSA für die Verwendung von NTLMSSP und nicht nur von NTLM Basic eingerichtet ist.

Diese Einstellung finden Sie auf der GUI-Seite unter Websicherheits-Manager > Identitäten. Bearbeiten Sie die entsprechende Identität, und aktivieren Sie dann die Einstellung Mitglieder nach Authentifizierung definieren > Authentifizierungsschemas.

Wählen Sie eine der folgenden Optionen aus:

NTLMSSP verwenden
Basic oder NTLMSSP verwenden
Grundlegendes verwenden

Mit NTLMSSP kann der Client die Anmeldeinformationen sicher und transparent an den Webproxy senden.

Mit NTLM Basic kann der Client den Benutzernamen und das Kennwort im Nur-Text-Format senden, wenn er zur Eingabe der Anmeldeinformationen aufgefordert wird.

Der Client wählt die beste verfügbare Methode aus, wenn die Option Use Basic (Grundlegende Methode) oder NTLMSSP (NTLMSSP-Methode) ausgewählt ist (empfohlen). Wenn der Client NTLMSSP unterstützt, wird diese Methode verwendet, und alle anderen Browser verwenden Basic. Dies ermöglicht eine maximale Kompatibilität.

Client-Vertrauenswürdigkeit:

Wenn der Client der WSA nicht vertraut, sendet er seine Anmeldeinformationen nicht transparent. Die folgenden Richtlinien unterstützen Sie bei der Fehlerbehebung in Umgebungen, in denen der Client der WSA nicht vertraut.

Der Client vertraut der Authentifizierungsumleitungs-URL nicht (nur transparente Bereitstellungen).

In einer transparenten Bereitstellung muss die WSA den Client an sich selbst umleiten, um die Authentifizierung durchzuführen. Möglicherweise vertraut der Client diesem umgeleiteten Speicherort.

Standardmäßig wird die WSA an den FQDN des P1 umgeleitet (oder an die M1-Schnittstelle, wenn sie für Proxydaten verwendet wird). Da es sich hierbei um einen FQDN handelt, wird dieser von Internet Explorer nicht als vertrauenswürdig eingestuft, da er davon ausgeht, dass es sich um eine Ressource außerhalb des Netzwerks handelt.

Internet Explorer kann auf zwei Arten der WSA vertrauen:

Fügen Sie den vertrauenswürdigen Sites den FQDN der WSA-Schnittstelle hinzu. Wählen Sie Extras > Internetoptionen > Sicherheit > Vertrauenswürdige Sites aus, und klicken Sie auf die Schaltfläche Sites.
Hinweis: Diese Konfiguration muss auf jedem Client geändert werden.
Ändern Sie die Umleitungs-URL, die von der WSA verwendet wird, in einen DNS-auflösbaren Hostnamen mit einem Wort.

Dies kann über die Webschnittstelle erfolgen. Melden Sie sich als Administrator bei Ihrer WSA an, und navigieren Sie zu Network > Authentication. Klicken Sie dann auf "Globale Einstellungen bearbeiten ..." und ändern Sie "Hostname für transparente Authentifizierungsumleitung"

Wenn die WSA diesen Hostnamen nicht mithilfe von DNS auflösen kann, werden Warnmeldungen für Konfigurationsfehler angezeigt. Es wird empfohlen, den Befehl DNSCONFIG > localhosts (Hinweis: 'localhosts' ist ein versteckter Befehl) zu verwenden und diesen Hostnamen zur Auflösung in die WSA-Schnittstelle hinzuzufügen, die für die Proxydaten verwendet wird.

Wenn Ihre Clients diesen Hostnamen nicht DNS auflösen können, können Ihre Clients keinen Proxy-Server verwenden.

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	15-Jul-2014	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Josh Wolfer and Siddharth Rajpathak
Cisco TAC Engineers.