如何正確設定具有SSO的NTLM（以透明方式傳送憑據）？

問題：

症狀：使用NTLM身份驗證時，瀏覽器會提示輸入憑據。

環境：思科網路安全裝置(WSA)，所有AsyncOS版本

有幾個因素可能會影響使用者端是否自動傳送其認證（SSO -單一登入），或提示一般使用者手動輸入認證。
嘗試使用SSO實作NTLM時，請確認下列專案：

WSA身份驗證配置：

驗證WSA是否設定為使用NTLMSSP而非NTLM Basic

此設定可在GUI的網路安全管理器 > 身份頁面下找到。  編輯適當的標識，然後選中Define Members by Authentication > Authentication Schemes 設定。

選取下列選項之一：

• 使用NTLMSSP
• 使用基本或NTLMSSP
• 使用基本

NTLMSSP使客戶端能夠安全且透明地將憑證傳送到Web代理。 

NTLM Basic允許客戶端在提示輸入憑據時，以明文形式傳送使用者名稱和密碼。

選擇Use Basic or NTLMSSP選項時（推薦），客戶端將選擇最佳可用方法。如果客戶端支援NTLMSSP，它將使用此方法，並且所有其他瀏覽器都將使用Basic。這樣可達到最大相容性。

使用者端信任：

如果客戶端不信任WSA，則不會透明地傳送其憑證。以下是幫助排除客戶端不信任WSA環境故障的指南。

使用者端不信任驗證重新導向URL （僅適用於透明部署）

在透明部署中，WSA必須將客戶端重定向到自身才能執行身份驗證。使用者端不一定信任這個重新導向的位置。

預設情況下，WSA重定向到P1的FQDN（或者M1介面，如果用於代理資料）。由於這是FQDN，因此Internet Explorer不會信任它，因為它認為這是其網路之外的資源。

有兩種方法可以讓Internet Explorer信任WSA：

1. 將WSA介面FQDN增加到受信任的站點。選擇「工具」>「Internet選項」>「安全」>「受信任的站點」，然後按一下「站點」按鈕。
   注意：必須在每個客戶端上更改此配置。
   
   
2. 更改WSA用作可解析DNS的單詞主機名的重定向URL。
   
   這可以透過Web介面完成。請以admin身份登入您的WSA，然後導航到Network > Authentication。  然後按一下「Edit Global Settings ...」並修改「Transparent Authentication Redirect Hostname」
   
   如果WSA無法使用DNS解析此主機名，將出現配置錯誤的警報消息。 建議您使用DNSCONFIG > localhosts （注意：「localhosts」是隱藏命令）命令並增加此主機名，以解析為代理資料使用的WSA介面。
   
   如果您的客戶端無法DNS解析此主機名，則您的客戶端將無法代理。