Autenticazione non riuscita tramite WSA quando il client utilizza NEGOEXTS

Opzioni per il download

  • PDF     (248.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (83.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:17 marzo 2017
ID documento:201119

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come risolvere il problema quando l'autenticazione non riesce tramite Cisco Web Security Appliance (WSA) quando il client utilizza NEGOEXTS.

Premesse

Cisco Web Security Appliance (WSA) può autenticare gli utenti per applicare le policy in base all'utente o al gruppo. Uno dei metodi disponibili è Kerberos. Quando si utilizza Kerberos come metodo di autenticazione in un oggetto Identity, il server WSA risponde alla richiesta HTTP di un client con una risposta HTTP 401 (trasparente) o 407 (esplicita) contenente l'intestazione WWW-Authenticate: Negotiate. A questo punto, il client invia una nuova richiesta HTTP con l'intestazione Authorization: Negotiate, che contiene i protocolli GSS-API (Generic Security Service Application Program Interface) e SPNEGO (Simple Protected Negotation). In SPNEGO, l'utente presenta i mechTypes supportati. MechTypes supportati da WSA:

  • KRB5 - Metodo di autenticazione Kerberos utilizzato se Kerberos è supportato e configurato correttamente nel client e se è presente un ticket Kerberos valido per il servizio a cui si accede
  • NTLMSSP: metodo del provider di supporto della sicurezza NTLM di Microsoft utilizzato se non sono disponibili ticket Kerberos validi ma è supportato il metodo di autenticazione Negotiate.

Problema: autenticazione non riuscita tramite WSA quando il client utilizza NEGOEXTS

Nelle versioni più recenti di Microsoft Windows è supportato un nuovo metodo di autenticazione denominato NegoExts, che è un'estensione del protocollo di autenticazione Negotiate. Questo mechType è considerato più sicuro di NTLMSSP ed è preferito dal client quando gli unici metodi supportati sono NEGOEXTS e NTLMSSP. Per ulteriori informazioni, visitare questo link:

Introduzione alle estensioni del pacchetto di autenticazione Negotiate

Questo scenario si verifica in genere quando viene selezionato il metodo di autenticazione Negotiate e non è presente alcun mechType KRB5 (molto probabilmente a causa di un ticket Kerberos mancante per il servizio WSA). Se il client seleziona NEGOEXTS (può essere visto come NEGOEX in wireshark), WSA non è in grado di elaborare la transazione di autenticazione e l'autenticazione non riesce per il client. In questo caso, i seguenti log vengono visualizzati nei log di autenticazione:

14 Nov 2016 16:06:20 (GMT -0500) Warning: PROX_AUTH : 123858 : [DOMAIN]Failed to parse NTLMSSP packet, could not extract NTLMSSP command14 Nov 2016 16:06:20 (GMT -0500) Info: PROX_AUTH : 123858 : [DOMAIN][000] 4E 45 47 4F 45 58 54 53 00 00 00 00 00 00 00 00 NEGOEXTS ........

Se l'autenticazione non riesce, si verifica quanto segue:

Se i privilegi guest sono abilitati, il client viene classificato come non autenticato e reindirizzato al sito Web

Se i privilegi guest sono disabilitati, al client viene presentato un altro 401 o 407 (a seconda del metodo proxy) con i restanti metodi di autenticazione presentati nell'intestazione della risposta (Negotiate non viene più presentato). Se si configura l'autenticazione NTLMSSP e/o di base, è probabile che venga visualizzato un prompt di autenticazione. Se non sono disponibili altri metodi di autenticazione (l'identità è configurata solo per Kerberos), l'autenticazione avrà esito negativo.

Soluzione

Per risolvere il problema, rimuovere l'autorizzazione Kerberos dall'identità oppure correggere il client in modo che ottenga un ticket Kerberos valido per il servizio WSA.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
17-Mar-2017
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jeff Richmond
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti