如何建立與Active Directory組匹配的訪問策略組？

問題

如何建立與Active Directory (AD)組匹配的訪問策略組？

第一步是配置身份驗證領域(NT LAN Manager (NTLM)領域)和使用身份驗證領域的身份。

1. 在Web安全裝置(WSA)上的Network > Authentication下建立NTLM領域。
2. 配置NTLM領域後，請選擇Web Security Manager > Identities，然後按一下Add Identity。
3. 依照下列步驟來建立辨識：
   1. 名稱：Auth.Id
   2. 在上方插入：1
   3. 透過身份驗證定義成員： <NTLM領域名稱>
   4. 配置：使用基本或NTLMSSP或使用NTLMSSP
   5. 保留所有其他設定為預設值。
      如果要針對所選客戶端測試身份驗證，請使用Define Members By Subnet並指定請求該客戶端的IP。這允許WSA僅為這些選定的客戶端請求身份驗證。
   6. 按一下Submit。

此時，您應該僅具有兩個身份：Auth.Id和Global Identity Policy，並且對Auth.Id身份啟用了身份驗證。

下一步是使用Auth.Id身份，並根據此身份建立訪問策略。您可以在訪問策略中指定所需的AD組或使用者。
-------------------------------------------------------------------------------------

1. 選擇GUI > Web Security Manager > Access Policies。
2. 按一下Add Policy。
3. 按照以下步驟建立訪問策略：
   1. 策略名稱：Sales.Policy
   2. 在策略上插入：1
   3. 身份策略：Auth.Id -指定授權組和使用者
   4. 手動輸入組名，或按一下Refresh Directory獲取AD上現有的使用者清單。選擇使用者後，按一下Add。
   5. 完成後，按一下Submit。

如果需要建立其他訪問策略，請按一下Add Policy，然後為新的AD組建立其他訪問策略。

您不應為相同的驗證範圍建立新辨識。只要身份未繫結到代理埠、URL類別、使用者代理或按子網定義成員，即可重複使用現有身份(Auth.Id)並為不同的AD組建立新訪問策略。

對於使用不同AD組的多個訪問策略，設定應如下所示：
-------------------------------------------------------------------------------------

辨識

"Auth.Id"
「全局身份策略」

訪問策略

使用「Auth.Id」的「Sales.Policy」
使用「Auth.Id」的「Support.Policy」
使用「Auth.Id」的「Manager.Policy」
使用「Auth.Id」的「Admin.Policy」
使用「All」的「Global Policy」