Comment configurer mon WSA pour faire la stratégie de groupe d'authentification LDAP ?

Options de téléchargement

  • PDF     (233.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (87.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (70.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 juillet 2014
ID du document:117937

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Question :

Question :

Environnement : appareil de sécurité Web Cisco (WSA), toutes les versions d'AsyncOS

Cet article de la base de connaissances se rapporte à un logiciel qui n'est pas mis à jour ou pris en charge par Cisco.  Les informations sont fournies comme courtoisie pour votre commodité.  Pour plus d'assistance, communiquez avec le fournisseur du logiciel.


Pour que le groupe d'authentification fonctionne, nous devons d'abord configurer un domaine d'authentification sous « GUI > Network > Authentication ».

  1. Définissez d'abord « Authentication Protocol » sur « LDAP » et accédez à « Group Authorization » (avec une autre section correctement configurée).
  2. Spécifiez votre « Attribut de nom de groupe ». Il s'agit de l'attribut qui contient la valeur affichée sous le tableau "Gestionnaire de sécurité Web" > "Stratégies d'accès Web" > "Cliquez sur Ajouter un groupe" > "Sélectionner le type de groupe au groupe d'authentification" > "Recherche dans le répertoire". Cet attribut doit être unique et le noeud leaf représenté par cet attribut doit contenir une liste d'utilisateurs dans son groupe.
  3. Spécifiez ensuite la « Requête de filtre de groupe ». Il s'agit du filtre de recherche que WSA utilise pour localiser tout le GROUPE dans l'annuaire LDAP.
  4. À présent, spécifiez « Attribut d'appartenance au groupe », qui est l'attribut dans le noeud feuille qui contiendrait la valeur unique des membres. Puisque cet attribut contient le membre de ce GROUPE, vous verriez plusieurs entrées. Assurez-vous que la valeur incluse dans cet attribut correspond à la valeur incluse dans "Attribut de nom d'utilisateur" situé sur la même page.

Voici un exemple de la façon dont WSA utiliserait la configuration du domaine LDAP pour faire correspondre un nom d'utilisateur à un groupe LDAP :

  1. Supposons que nous définissions "Group Filter Query" sur "objectClass=group"
  2. WSA utiliserait d'abord ce filtre et rechercherait dans l'annuaire LDAP, puis chercherait le résultat.
  3. Ensuite, à l'aide du résultat, WSA recherchera l'attribut spécifié dans « Attribut d'appartenance au groupe ». Disons qu'il s'agit d'un attribut appelé « member ».
  4. Désormais, si un utilisateur se connecte en tant que 'USERNAME_A' via le proxy WSA, WSA recherche le compte de l'utilisateur dans le serveur LDAP, et s'il y a correspondance, il utilise l'attribut spécifié sous "User Name Attribute" (exemple : uid) et vérifie si "uid" correspond aux utilisateurs répertoriés dans l'attribut "member" collecté ci-dessus.
  5. S'il y avait une correspondance, l'utilisateur utiliserait la stratégie configurée et si ce n'était pas le cas, WSA évaluerait la stratégie suivante en ligne.

Pour savoir quels attributs doivent être configurés à l'aide de votre serveur LDAP, reportez-vous à la page « Softerra LDAP Browser » http://www.ldapbrowser.com

Historique de révision

Révision Date de publication Commentaires
1.0
15-Jul-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Kei Ozaki and Siddharth Rajpathak
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits