为什么在访问策略中进行目录搜索时找不到受信任域的AD组?

下载选项

  • PDF     (287.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (60.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 7 月 24 日
文档 ID:118068

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题:

为什么在访问策略中进行目录搜索时找不到受信任域的AD组?

环境:思科网络安全设备(WSA)、NTLM身份验证、受信任域

症状

  • 用户正在尝试查找“Active Directory组”以用作为其访问策略之一中的策略成员定义,并且该组未显示在目录搜索中。
  • 组属于受信任的AD域,而不是WSA已加入的域。

此行为是有意为之。在访问策略中配置组时,来自受信任域的组不会显示在Directory Search中。


在所有AsyncOS版本中,WSA能够对来自其他域的用户进行身份验证,并且匹配其各自的AD组如果另一个域与WSA加入的域具有双向信任

在这种情况下,可以使用以下步骤在访问策略中添加来自受信任域的组:

  1. 浏览至GUI —> Web Security Manager —> Access Policies —> <Policy Name> —> Selected Groups and Users —> Groups
  2. 在“目录搜索”字段中手动键入整个组名域名
  3. 单击“添加”按钮
  4. 点击done(完成),然后点击Submit & commit(提交并确认更改)

请注意,如果另一个域与由WSA加入的域没有双向信任关系,则WSA将不会与手动配置的组匹配

注意: 在AsyncOS版本7.7及更高版本上,WSA支持多个NTLM领域,并且对于两个域之间没有信任关系的场景,我们可以为第二个域创建新的NTLM领域。借助多个NTLM领域,WSA可以从访问策略中的不同域查找组。

修订历史记录

版本 发布日期 备注
1.0
24-Jul-2014
初始版本
TAC Authored

由思科工程师提供

  • Vladimir Sousa and Siddharth Rajpathak
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品