如何配置WSA以执行LDAP身份验证组策略?
目录
问题:
环境:思科网络安全设备(WSA),所有AsyncOS版本
此知识库文章引用不是由思科维护或支持的软件。 提供该信息只是为了方便您使用。 如需进一步协助,请联系软件供应商。
为使“身份验证组”正常工作,我们首先需要在“GUI >网络>身份验证”下配置身份验证领域。
- 首先将“Authentication Protocol”设置为“LDAP”,然后导航至“Group Authorization”(组授权)(其他部分已正确配置)。
- 指定您的“组名属性”。此属性保存在“网络安全管理器”>“Web访问策略”>“单击添加组”>“选择身份验证组的组类型”>“目录查找”表下显示的值。此属性需要是唯一的,并且此属性表示的枝叶节点需要包含其组中的用户列表。
- 接下来,指定“Group Filter Query”。这是WSA用于查找LDAP目录中所有GROUP的搜索过滤器。
- 现在,指定“Group Membership Attribute”,这是枝叶节点中保存成员唯一值的属性。由于此属性是该GROUP的成员,因此您会看到多个条目。请确保此属性中包括的值与同一页上“用户名属性”中包含的值相对应。
以下是WSA如何使用LDAP领域配置来将用户名与LDAP组进行匹配的示例:
- 例如,我们将“组过滤器查询”设置为“objectClass=group”
- WSA将首先使用此过滤器并搜索LDAP目录,然后查找结果。
- 然后,WSA将使用结果查找“组成员属性”中指定的属性。假定这是一个名为“member”的属性。
- 现在,如果用户通过WSA代理以“USERNAME_A”身份登录,WSA将在LDAP服务器中查找用户帐户,如果存在匹配,它将使用“用户名属性”(User Name Attribute)下指定的属性(例如:uid),并检查“uid”是否与上面收集的“成员”属性中列出的用户匹配。
- 如果存在匹配,用户将使用配置的策略,如果没有,则WSA将评估行中的下一个策略。
要查看需要使用LDAP服务器配置哪些属性,请参阅“Softerra LDAP Browser” http://www.ldapbrowser.com
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
15-Jul-2014 |
初始版本 |
反馈