Question :
Environnement : appareil de sécurité Web Cisco (WSA), toutes les versions d'AsyncOS
Cet article de la base de connaissances se rapporte à un logiciel qui n'est pas mis à jour ou pris en charge par Cisco. Les informations sont fournies comme courtoisie pour votre commodité. Pour plus d'assistance, communiquez avec le fournisseur du logiciel.
Pour que le groupe d'authentification fonctionne, nous devons d'abord configurer un domaine d'authentification sous « GUI > Network > Authentication ».
- Définissez d'abord « Authentication Protocol » sur « LDAP » et accédez à « Group Authorization » (avec une autre section correctement configurée).
- Spécifiez votre « Attribut de nom de groupe ». Il s'agit de l'attribut qui contient la valeur affichée sous le tableau "Gestionnaire de sécurité Web" > "Stratégies d'accès Web" > "Cliquez sur Ajouter un groupe" > "Sélectionner le type de groupe au groupe d'authentification" > "Recherche dans le répertoire". Cet attribut doit être unique et le noeud leaf représenté par cet attribut doit contenir une liste d'utilisateurs dans son groupe.
- Spécifiez ensuite la « Requête de filtre de groupe ». Il s'agit du filtre de recherche que WSA utilise pour localiser tout le GROUPE dans l'annuaire LDAP.
- À présent, spécifiez « Attribut d'appartenance au groupe », qui est l'attribut dans le noeud feuille qui contiendrait la valeur unique des membres. Puisque cet attribut contient le membre de ce GROUPE, vous verriez plusieurs entrées. Assurez-vous que la valeur incluse dans cet attribut correspond à la valeur incluse dans "Attribut de nom d'utilisateur" situé sur la même page.
Voici un exemple de la façon dont WSA utiliserait la configuration du domaine LDAP pour faire correspondre un nom d'utilisateur à un groupe LDAP :
- Supposons que nous définissions "Group Filter Query" sur "objectClass=group"
- WSA utiliserait d'abord ce filtre et rechercherait dans l'annuaire LDAP, puis chercherait le résultat.
- Ensuite, à l'aide du résultat, WSA recherchera l'attribut spécifié dans « Attribut d'appartenance au groupe ». Disons qu'il s'agit d'un attribut appelé « member ».
- Désormais, si un utilisateur se connecte en tant que 'USERNAME_A' via le proxy WSA, WSA recherche le compte de l'utilisateur dans le serveur LDAP, et s'il y a correspondance, il utilise l'attribut spécifié sous "User Name Attribute" (exemple : uid) et vérifie si "uid" correspond aux utilisateurs répertoriés dans l'attribut "member" collecté ci-dessus.
- S'il y avait une correspondance, l'utilisateur utiliserait la stratégie configurée et si ce n'était pas le cas, WSA évaluerait la stratégie suivante en ligne.
Pour savoir quels attributs doivent être configurés à l'aide de votre serveur LDAP, reportez-vous à la page « Softerra LDAP Browser » http://www.ldapbrowser.com