如何配置WSA以執行LDAP身份驗證組策略?
目錄
問題:
環境:思科網路安全裝置(WSA),所有AsyncOS版本
此知識庫文章中引用的軟體不是由思科維護或支援的。 提供此資訊是為了方便您使用。 如需進一步協助,請連絡軟體廠商。
要使「身份驗證組」正常工作,我們首先需要在「GUI」>「網路」>「身份驗證」下配置身份驗證領域。
- 首先將「身份驗證協定」設定為「LDAP」,然後導航到「組授權」(其他部分配置正確)。
- 指定您的「群組名稱屬性」。此屬性包含顯示在「網路安全管理器」>「Web訪問策略」>「按一下增加組」>「選擇身份驗證組的組型別」>「目錄查詢」表下的值。此屬性必須是唯一的,而且此屬性所代表的分葉節點必須包含其群組中的使用者清單。
- 接著,指定「群組篩選查詢」。這是WSA用來尋找LDAP目錄中所有GROUP的搜尋篩選。
- 現在,請指定「群組成員屬性」,這是葉節點中保留成員唯一值的屬性。由於此屬性是此GROUP的成員,因此您會看到多個條目。請確定此屬性中所包含的值對應於位於相同頁面的[使用者名稱屬性]中所包含的值。
以下是WSA如何使用LDAP領域配置來將使用者名稱與LDAP組進行匹配的示例:
- 假設我們將「群組篩選查詢」設定為「objectClass=group」
- WSA將首先使用此過濾器並搜尋LDAP目錄,然後查詢結果。
- 然後,WSA將使用該結果查詢「組成員屬性」中指定的屬性。假設這是稱為「member」的屬性。
- 現在,如果使用者透過WSA代理以「USERNAME_A」身份登入,WSA將在LDAP伺服器中查詢該使用者的帳戶,如果存在匹配,它將使用「使用者名稱屬性」(示例: uid)下指定的屬性,並檢查「uid」是否與上面收集的「成員」屬性中列出的使用者匹配。
- 如果存在匹配,則使用者將使用配置的策略;如果沒有,則WSA將評估下一個策略。
要檢視需要使用LDAP伺服器配置的屬性,請參閱「Softerra LDAP Browser」 http://www.ldapbrowser.com
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
15-Jul-2014 |
初始版本 |
意見