如何创建与Active Directory组匹配的访问策略组？

问题

如何创建与Active Directory (AD)组匹配的访问策略组？

第一步是配置身份验证领域(NT LAN Manager (NTLM)领域)和使用身份验证领域的身份。

1. 在Web安全设备(WSA)的网络>身份验证下创建NTLM领域。
2. 配置NTLM领域后，请选择网络安全管理器>身份，然后单击添加身份。
3. 按照以下步骤创建身份：
   1. 名称：Auth.Id
   2. 在上方插入：1
   3. 按身份验证定义成员：<NTLM领域名称>
   4. 方案：使用基本或NTLMSSP或使用NTLMSSP
   5. 保留所有其他设置为默认设置。
      如果要针对所选客户端测试身份验证，请使用Define Members By Subnet并指定请求客户端的IP。这允许WSA仅为这些选定的客户端请求身份验证。
   6. 单击“Submit”。

此时，您应该仅具有两个身份：Auth.Id和Global Identity Policy，并且对Auth.Id身份启用了身份验证。

下一步是使用Auth.Id身份并基于此身份创建访问策略。您可以在访问策略中指定所需的AD组或用户。
-------------------------------------------------------------------------------------

1. 选择GUI >网络安全管理器>访问策略。
2. 单击Add Policy。
3. 按照以下步骤创建访问策略：
   1. 策略名称：Sales.Policy
   2. 插入以上策略：1
   3. 身份策略：Auth.Id -指定授权组和用户
   4. 手动输入组名，或点击刷新目录以获取AD上存在的用户列表。选择用户后，单击Add。
   5. 完成后，单击Submit。

如果需要创建其他访问策略，请单击Add Policy，然后为新AD组创建其他访问策略。

您不应为同一身份验证领域创建新身份。只要身份未绑定到代理端口、URL类别、用户代理或按子网定义成员，即可重复使用现有身份(Auth.Id)并为不同AD组创建新访问策略。

对于使用不同AD组的多个访问策略，设置应如下所示：
-------------------------------------------------------------------------------------

身份

"Auth.Id"
“全局身份策略”

访问策略

使用“Auth.Id”的“Sales.Policy”
使用“Auth.Id”的“Support.Policy”
使用“Auth.Id”的“Manager.Policy”
使用“Auth.Id”的“Admin.Policy”
使用“All”的“Global Policy”