Question :
Symptômes: le navigateur demande des informations d'identification lorsque l'authentification NTLM est utilisée.
Environnement: Cisco Web Security Appliance (WSA), toutes les versions d'AsyncOS
Plusieurs facteurs peuvent affecter l'envoi automatique des informations d'identification par le client (SSO - Single Sign On) ou l'invite à saisir manuellement ses informations d'identification.
Vérifiez les éléments suivants lors de la tentative d'implémentation de NTLM avec SSO :
Configuration de l'authentification WSA :
Vérifiez que le WSA est configuré pour utiliser NTLMSSP et non NTLM Basic uniquement
Ce paramètre se trouve dans l'interface utilisateur graphique sous Gestionnaire de sécurité Web > Identités page. Modifiez l'identité appropriée, puis vérifiez le paramètre Define Members by Authentication > Authentication Schemes.
Sélectionnez l'une des options suivantes :
NTLMSSP permet au client d'envoyer les informations d'identification de manière sécurisée et transparente au proxy Web.
NTLM Basic permet au client d'envoyer le nom d'utilisateur et le mot de passe en texte clair lorsqu'il est invité à fournir les informations d'identification.
Le client choisit la meilleure méthode disponible lorsque l'option Use Basic ou NTLMSSP est sélectionnée (recommandé). Si le client prend en charge NTLMSSP, il utilisera cette méthode et tous les autres navigateurs utiliseront Basic. Cela permet une compatibilité maximale.
Confiance du client :
Si le client ne fait pas confiance à l'appareil de sécurité Web, il n'envoie pas ses informations d'identification de manière transparente. Les instructions suivantes permettent de dépanner les environnements dans lesquels le client ne fait pas confiance au WSA.
Le client n'approuve pas l'URL de redirection d'authentification (déploiements transparents uniquement)
Dans un déploiement transparent, le WSA doit rediriger le client vers lui-même afin d'effectuer l'authentification. Le client peut ou non faire confiance à cet emplacement redirigé.
Par défaut, l'appareil de sécurité sans fil redirige vers le nom de domaine complet de l'interface P1 (ou de l'interface M1 si elle est utilisée pour les données proxy). Comme il s’agit d’un nom de domaine complet, Internet Explorer ne lui fera pas confiance, car il pense qu’il s’agit d’une ressource en dehors de son réseau.
Il existe deux façons de faire confiance à Internet Explorer pour l'appareil de sécurité Web :
-
Ajoutez le nom de domaine complet de l'interface WSA aux sites de confiance. Choisissez Outils > Options Internet > Sécurité > Sites de confiance et cliquez sur le bouton Sites.
Remarque : cette configuration doit être modifiée sur chaque client.
-
Modifiez l'URL de redirection que l'appareil de sécurité Web utilise pour devenir un nom d'hôte à mot unique pouvant être résolu par DNS.
Cela peut être effectué via l'interface Web. Connectez-vous à votre WSA en tant qu'administrateur et accédez à Network > Authentication. Cliquez ensuite sur "Modifier les paramètres globaux..." et modifiez "Transparent Authentication Redirect Hostname"
Si WSA ne peut pas résoudre ce nom d'hôte à l'aide du DNS, des messages d'alerte pour les erreurs de configuration s'affichent. Il est recommandé d'utiliser la commande DNSCONFIG > localhosts (Remarque : « localhosts » est une commande masquée) et d'ajouter ce nom d'hôte pour résoudre l'interface WSA utilisée pour les données proxy.
Si vos clients ne peuvent pas résoudre ce nom d'hôte via DNS, ils ne pourront pas utiliser de proxy.