Warum kann ich bei einer Verzeichnissuche in Zugriffsrichtlinien keine AD-Gruppen für vertrauenswürdige Domänen finden?

Download-Optionen

PDF (232.4 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen

Aktualisiert:24. Juli 2014

Dokument-ID:118068

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Frage:

Warum kann ich bei einer Verzeichnissuche in Zugriffsrichtlinien keine AD-Gruppen für vertrauenswürdige Domänen finden?

Umgebung: Cisco Web Security Appliance (WSA), NTLM-Authentifizierung, Trusted Domains

Symptome:

Der Benutzer versucht, eine "Active Directory-Gruppe" zu suchen, die als Policy Member Definition in einer seiner Zugriffsrichtlinien verwendet wird, und die Gruppe wird nicht in der Verzeichnissuche angezeigt.
Die Gruppe gehört zu einer vertrauenswürdigen AD-Domäne und nicht zu der Domäne, der die WSA beigetreten ist.

Dieses Verhalten ist von Absicht. Bei der Konfiguration von Gruppen in Zugriffsrichtlinien werden die Gruppen aus vertrauenswürdigen Domänen nicht in der Verzeichnissuche angezeigt.

Bei allen AsyncOS-Versionen kann die WSA Benutzer aus einer anderen Domäne authentifizieren und ihre jeweiligen AD-Gruppen zuordnen, wenn die andere Domäne eine bidirektionale Vertrauensstellung mit der Domäne hat, der die WSA beigetreten ist.

In einem solchen Szenario können Sie die Gruppen aus der vertrauenswürdigen Domäne mithilfe der folgenden Schritte in die Zugriffsrichtlinien einfügen:

Navigieren Sie zu GUI —> Web Security Manager —> Zugriffsrichtlinien —> <Policy Name> —> Ausgewählte Gruppen und Benutzer —> Gruppen
Geben Sie manuell den gesamten Gruppennamen zusammen mit dem Domänennamen in das Feld "Verzeichnissuche" ein.
Klicken Sie auf die Schaltfläche "Hinzufügen"
Klicken Sie auf "Fertig", und senden Sie die Änderungen, und bestätigen Sie sie.

Beachten Sie, dass die WSA nicht mit den manuell konfigurierten Gruppen übereinstimmt, wenn die andere Domäne keine bidirektionale Vertrauensstellung mit der Domäne hat, zu der die WSA gehört.

Anmerkung: Auf AsyncOS 7.7 und höher unterstützt WSA mehrere NTLM-Bereiche, und für Szenarien, in denen keine Vertrauensbeziehung zwischen den beiden Domänen besteht, können wir einen neuen NTLM-Bereich für die zweite Domäne erstellen. Bei mehreren NTLM-Bereichen kann die WSA innerhalb der Zugriffsrichtlinien Gruppen aus verschiedenen Domänen suchen.

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	24-Jul-2014	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Vladimir Sousa and Siddharth Rajpathak
Cisco TAC Engineers.