Wie konfiguriere ich meinen WSA für die Gruppenrichtlinie für die LDAP-Authentifizierung?

Download-Optionen

  • PDF     (234.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (87.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (71.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. Juli 2014
Dokument-ID:117937

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Frage:

Frage:

Umgebung: Cisco Web Security Appliance (WSA), alle Versionen von AsyncOS

Dieser Knowledge Base-Artikel bezieht sich auf Software, die nicht von Cisco gewartet oder unterstützt wird.  Die Informationen werden Ihnen gerne zur Verfügung gestellt.  Wenden Sie sich für weitere Unterstützung an den Softwareanbieter.


Damit "Authentication Group" funktioniert, müssen wir zunächst unter "GUI > Network > Authentication" einen Authentifizierungsbereich konfigurieren.

  1. Legen Sie zunächst "Authentication Protocol" als "LDAP" fest, und navigieren Sie zu "Group Authorization" (Gruppenautorisierung) (andere Bereiche sind ordnungsgemäß konfiguriert).
  2. Geben Sie Ihr "Gruppennamenattribut" an. Dies ist das Attribut, das den Wert enthält, der unter "Websicherheits-Manager" > "Webzugriffsrichtlinien" > "Klicken Sie auf Gruppe hinzufügen" > "Gruppentyp zur Authentifizierungsgruppe auswählen" > "Verzeichnissuche" angezeigt wird. Dieses Attribut muss eindeutig sein, und der durch dieses Attribut dargestellte Endknoten muss eine Liste von Benutzern in seiner Gruppe enthalten.
  3. Geben Sie als Nächstes die "Gruppenfilter-Abfrage" an. Dies ist der Suchfilter, den die WSA verwendet, um alle GROUPs im LDAP-Verzeichnis zu finden.
  4. Geben Sie nun "Gruppenmitgliedschaft-Attribut" an. Dies ist das Attribut im Endknoten, das den eindeutigen Wert der Mitglieder enthält. Da dieses Attribut den Member dieser GROUP enthält, werden mehrere Einträge angezeigt. Stellen Sie sicher, dass der in diesem Attribut enthaltene Wert dem Wert entspricht, der in "User Name Attribute" auf derselben Seite enthalten ist.

Im Folgenden finden Sie ein Beispiel dafür, wie die WSA die LDAP-Bereichskonfiguration verwendet, um einen Benutzernamen mit einer LDAP-Gruppe abzugleichen:

  1. Nehmen wir an, wir setzen "Group Filter Query" auf "objectClass=group"
  2. Die WSA verwendet diesen Filter zunächst, durchsucht das LDAP-Verzeichnis und findet das Ergebnis.
  3. Anschließend sucht die WSA anhand des Ergebnisses nach dem Attribut, das unter "Gruppenmitgliedschaft-Attribut" angegeben ist. Angenommen, es handelt sich um ein Attribut namens "member".
  4. Wenn sich ein Benutzer nun über den WSA-Proxy als 'USERNAME_A' anmeldet, sucht die WSA das Benutzerkonto im LDAP-Server. Wenn eine Übereinstimmung vorliegt, verwendet sie das Attribut, das unter "User Name Attribute" (Beispiel: uid) angegeben ist, und überprüft, ob "uid" mit Benutzern übereinstimmt, die im oben erfassten Attribut "member" aufgeführt sind.
  5. Wenn eine Übereinstimmung vorliegt, verwendet der Benutzer die konfigurierte Richtlinie. Wenn dies nicht der Fall ist, bewertet die WSA die nächste Richtlinie in der Leitung.

Informationen darüber, welche Attribute mit Ihrem LDAP-Server konfiguriert werden müssen, finden Sie unter "Softerra LDAP Browser" http://www.ldapbrowser.com

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
15-Jul-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Kei Ozaki and Siddharth Rajpathak
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.