Comment configurer correctement NTLM avec SSO (informations d'identification envoyées de manière transparente) ?

Options de téléchargement

  • PDF     (233.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (91.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (75.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 juillet 2014
ID du document:117934

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Question :


Symptômes: le navigateur demande des informations d'identification lorsque l'authentification NTLM est utilisée.


Environnement: Cisco Web Security Appliance (WSA), toutes les versions d'AsyncOS

Plusieurs facteurs peuvent affecter l'envoi automatique des informations d'identification par le client (SSO - Single Sign On) ou l'invite à saisir manuellement ses informations d'identification.
Vérifiez les éléments suivants lors de la tentative d'implémentation de NTLM avec SSO :


Configuration de l'authentification WSA :

Vérifiez que le WSA est configuré pour utiliser NTLMSSP et non NTLM Basic uniquement

Ce paramètre se trouve dans l'interface utilisateur graphique sous Gestionnaire de sécurité Web > Identités page.  Modifiez l'identité appropriée, puis vérifiez le paramètre Define Members by Authentication > Authentication Schemes.


Sélectionnez l'une des options suivantes :

  • Utiliser NTLMSSP
  • Utiliser Basic ou NTLMSSP
  • Utiliser les paramètres de base

NTLMSSP permet au client d'envoyer les informations d'identification de manière sécurisée et transparente au proxy Web. 

NTLM Basic permet au client d'envoyer le nom d'utilisateur et le mot de passe en texte clair lorsqu'il est invité à fournir les informations d'identification.

Le client choisit la meilleure méthode disponible lorsque l'option Use Basic ou NTLMSSP est sélectionnée (recommandé). Si le client prend en charge NTLMSSP, il utilisera cette méthode et tous les autres navigateurs utiliseront Basic. Cela permet une compatibilité maximale.

Confiance du client :

Si le client ne fait pas confiance à l'appareil de sécurité Web, il n'envoie pas ses informations d'identification de manière transparente. Les instructions suivantes permettent de dépanner les environnements dans lesquels le client ne fait pas confiance au WSA.

Le client n'approuve pas l'URL de redirection d'authentification (déploiements transparents uniquement)

Dans un déploiement transparent, le WSA doit rediriger le client vers lui-même afin d'effectuer l'authentification. Le client peut ou non faire confiance à cet emplacement redirigé.

Par défaut, l'appareil de sécurité sans fil redirige vers le nom de domaine complet de l'interface P1 (ou de l'interface M1 si elle est utilisée pour les données proxy). Comme il s’agit d’un nom de domaine complet, Internet Explorer ne lui fera pas confiance, car il pense qu’il s’agit d’une ressource en dehors de son réseau.

Il existe deux façons de faire confiance à Internet Explorer pour l'appareil de sécurité Web :

  1. Ajoutez le nom de domaine complet de l'interface WSA aux sites de confiance. Choisissez Outils > Options Internet > Sécurité > Sites de confiance et cliquez sur le bouton Sites.
    Remarque : cette configuration doit être modifiée sur chaque client.

  2. Modifiez l'URL de redirection que l'appareil de sécurité Web utilise pour devenir un nom d'hôte à mot unique pouvant être résolu par DNS.

    Cela peut être effectué via l'interface Web. Connectez-vous à votre WSA en tant qu'administrateur et accédez à Network > Authentication.  Cliquez ensuite sur "Modifier les paramètres globaux..." et modifiez "Transparent Authentication Redirect Hostname"

    Si WSA ne peut pas résoudre ce nom d'hôte à l'aide du DNS, des messages d'alerte pour les erreurs de configuration s'affichent.  Il est recommandé d'utiliser la commande DNSCONFIG > localhosts (Remarque : « localhosts » est une commande masquée) et d'ajouter ce nom d'hôte pour résoudre l'interface WSA utilisée pour les données proxy.

    Si vos clients ne peuvent pas résoudre ce nom d'hôte via DNS, ils ne pourront pas utiliser de proxy. 

Historique de révision

Révision Date de publication Commentaires
1.0
15-Jul-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Josh Wolfer and Siddharth Rajpathak
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits