Pourquoi ne puis-je pas trouver de groupes Active Directory pour les domaines approuvés lors d'une recherche dans le Répertoire dans les stratégies d'accès ?

Options de téléchargement

PDF (231.2 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (96.3 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (78.9 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:24 juillet 2014

ID du document:118068

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Question :

Pourquoi ne puis-je pas trouver de groupes Active Directory pour les domaines approuvés lors d'une recherche dans le Répertoire dans les stratégies d'accès ?

Environnement : appareil de sécurité Web Cisco (WSA), authentification NTLM, domaines approuvés

Symptômes :

L'utilisateur tente de rechercher un « groupe Active Directory » à utiliser comme définition de membre de stratégie dans l'une de ses stratégies d'accès et le groupe n'apparaît pas dans la recherche dans l'annuaire.
Le groupe appartient à un domaine Active Directory approuvé et non au domaine auquel l'appareil de sécurité Web est joint.

Ce comportement est intentionnel. Lors de la configuration des groupes dans les stratégies d'accès, les groupes des domaines approuvés n'apparaîtront pas dans la recherche de répertoire.

Sur toutes les versions d'AsyncOS, WSA peut authentifier des utilisateurs d'un domaine différent et faire correspondre leurs groupes AD respectifs si l'autre domaine a une approbation bidirectionnelle avec le domaine joint par WSA.

Dans un tel scénario, nous pouvons ajouter les groupes du domaine approuvé dans les stratégies d'accès en procédant comme suit :

Accédez à GUI —> Gestionnaire de sécurité Web —> Stratégies d'accès —> <Nom de la stratégie> —> Groupes et utilisateurs sélectionnés —> Groupes
Saisissez manuellement le nom complet du groupe, ainsi que le nom de domaine, dans le champ 'Recherche dans le répertoire'
Cliquez sur le bouton Ajouter.
Cliquez sur Terminé, puis sur Envoyer et valider les modifications

Notez que le WSA ne correspond pas aux groupes configurés manuellement si l'autre domaine n'a pas de relation d'approbation bidirectionnelle avec le domaine joint par le WSA

Remarque : Sur AsyncOS versions 7.7 et ultérieures, WSA prend en charge plusieurs domaines NTLM et pour les scénarios où il n'y a pas de relation d'approbation entre les 2 domaines, nous pouvons créer un nouveau domaine NTLM pour le second domaine. Avec plusieurs domaines NTLM, WSA peut rechercher des groupes dans différents domaines au sein des stratégies d'accès.

Historique de révision

Révision	Date de publication	Commentaires
1.0	24-Jul-2014	Première publication

Contribution d’experts de Cisco

Vladimir Sousa and Siddharth Rajpathak
Cisco TAC Engineers.