如何正确设置带有SSO的NTLM（以透明方式发送凭证）？

问题：

症状：使用NTLM身份验证时，浏览器会提示输入凭据。

环境：思科网络安全设备(WSA)，所有AsyncOS版本

有多种因素可能会影响客户端自动发送其凭证（SSO -单点登录），或提示最终用户手动输入其凭证。
尝试使用SSO实施NTLM时，请验证以下事项：

WSA身份验证配置：

验证WSA是否设置为使用NTLMSSP，而不是仅使用NTLM Basic

此设置可以在GUI的网络安全管理器 > 身份页面下找到。  编辑适当的身份，然后选中Define Members by Authentication > Authentication Schemes设置。

选择以下选项之一：

• 使用NTLMSSP
• 使用基本或NTLMSSP
• 使用基本

NTLMSSP使客户端能够安全透明地将凭证发送到Web代理。 

NTLM Basic允许客户端在提示输入凭证时以纯文本格式发送用户名和密码。

选择Use Basic or NTLMSSP选项后，客户端将选择最佳可用方法（推荐）。如果客户端支持NTLMSSP，它将使用此方法，并且所有其他浏览器都将使用基本。这样可以实现最大的兼容性。

客户端信任：

如果客户端不信任WSA，则不会透明发送其凭证。以下指导原则有助于排除客户端不信任WSA的环境的故障。

客户端不信任身份验证重定向URL（仅透明部署）

在透明部署中，WSA必须将客户端重定向到自身才能执行身份验证。客户端可能信任也可能不信任此重定向位置。

默认情况下，WSA重定向到P1（或者M1接口，如果用于代理数据）的FQDN。由于这是一个FQDN，Internet Explorer不会信任它，因为它认为这是其网络之外的资源。

有两种方法可以使Internet Explorer信任WSA：

1. 将WSA接口FQDN添加到受信任的站点。选择工具> Internet选项>安全>可信站点，然后单击站点按钮。
   注意：必须在每个客户端上更改此配置。
   
   
2. 更改WSA用作DNS可解析的单字主机名的重定向URL。
   
   这可以通过Web界面完成。请以管理员身份登录您的WSA并导航到网络(Network) >身份验证(Authentication)。  然后点击“编辑全局设置……”(Edit Global Settings...)并修改“透明身份验证重定向主机名”(Transparent Authentication Redirect Hostname)
   
   如果WSA无法使用DNS解析此主机名，将会显示有关配置错误的警报消息。 建议您使用DNSCONFIG > localhosts（注意：“localhosts”是隐藏命令）命令并添加此主机名，以解析到用于代理数据的WSA接口。
   
   如果客户端无法DNS解析此主机名，则客户端将无法代理。