質問:
症状:NTLM 認証の使用時に、ブラウザからクレデンシャルの入力を求められます。
環境:Cisco Web セキュリティ アプライアンス(WSA)、AsyncOS のすべてのバージョン
クライアントからクレデンシャルが自動的に送信されるか(SSO:シングル サインオン)、またはエンドユーザに対し各自のクレデンシャルを手動で入力するように求められるかどうかに影響する要因は多数あります。
SSO を使用して NTLM を実装するときに、次の項目を確認します。
WSA 認証設定:
NTLM Basic だけではなく、NTLMSSP を使用するように WSA が設定されていることを確認します。
この設定は、GUI の [Web Security Manager] > [Identities] ページにあります。 適切なアイデンティティを編集し、[Define Members by Authentication] > [Authentication Schemes] 設定を確認します。
次のオプションのいずれかを選択します。
-
NTLMSSP 利用
-
Basic 認証もしくは NTLMSSP を利用
-
Basic 認証を利用
NTLMSSP により、クライアントがクレデンシャルをセキュアかつ透過的に Web プロキシに送信できるようになります。
NTLM Basic では、クライアントがクレデンシャルを求められたときに、ユーザ名とパスワードをプレーン テキストで送信できます。
クライアントは、[Use Basic or NTLMSSP] オプションが選択されている場合に使用できる最良の方式を選択します(推奨)。クライアントで NTLMSSP がサポートされている場合、クライアントはこの方式を使用し、その他のすべてのブラウザは Basic を使用します。これにより互換性を最大限に引き出すことができます。
クライアントの信頼:
クライアントは、WSA を信頼しない場合にはクレデンシャルを透過的に送信しません。次に、クライアントが WSA を信頼しない環境をトラブルシューティングする際に役立つガイドラインを示します。
クライアントは認証リダイレクト URL を信頼しません(透過的な導入のみ)。
透過的な導入では、WSA は認証を実行するため、クライアントをそれ自体にリダイレクトする必要があります。クライアントは、リダイレクト先のロケーションを信頼する場合もあれば、信頼しない場合もあります。
デフォルトでは、WSA は P1 の FQDN(プロキシ データに使用されている場合は M1 インターフェイス)にリダイレクトします。これは FQDN であるため、Internet Explorer はこれをネットワーク外部のリソースと認識し、信頼しません。
Internet Explorer に WSA を信頼させる方法は、以下の 2 通りあります。
-
信頼済みサイトに WSA インターフェイス FQDN を追加する。[Tools] > [Internet Options] > [Security] > [Trusted Sites] を選択し、[Sites] ボタンをクリックします。
注:この設定は、すべてのクライアントで変更する必要があります。
-
WSA が使用するリダイレクト URL を、DNS により解決可能な 1 つの単語からなるホスト名に変更する。
これは、Web インターフェイスから実行できます。WSA に admin としてログインし、[Network] > [Authentication] に移動します。 次に、「Edit Global Settings ...」をクリックして、「Transparent Authentication Redirect Hostname」を変更します。
WSA が DNS を使用してこのホスト名を解決できない場合、設定エラーを示すアラート メッセージが表示されます。 DNSCONFIG > localhosts(注:「localhosts」は隠しコマンド)コマンドを使用し、プロキシデータに使用するWSAインターフェイスに解決するためにこのホスト名を追加することを推奨します。
クライアントがこのホスト名を DNS により解決できない場合、クライアントアントはプロキシとして機能できません。
フィードバック