質問:
アクセス ポリシーのディレクトリを検索中、信頼できるドメインで AD グループが見つからないのはなぜですか。
環境:Cisco Webセキュリティアプライアンス(WSA)、NTLM認証、信頼ドメイン
症状:
- ユーザが、自分のアクセスポリシーの1つでポリシーメンバー定義として使用する「Active Directoryグループ」を検索しようとしても、そのグループがディレクトリ検索に表示されません。
- このグループは、WSAが参加しているドメインではなく、信頼されたADドメインに属しています。
この動作は意図的なものです。アクセスポリシーでグループを設定している間、信頼できるドメインのグループはディレクトリ検索に表示されません。
すべてのAsyncOSバージョンで、WSAは異なるドメインのユーザを認証し、他方のドメインがWSAに参加しているドメインと双方向の信頼を確立している場合には対応するADグループを照合することができます。
このようなシナリオでは、次の手順を使用して、信頼される側のドメインのグループをアクセスポリシーに追加できます。
- GUI —> Web Security Manager —> Access Policies —> <Policy Name> —>選択したグループとユーザ – >グループを参照します。
- 「Directory Search」フィールドに、グループ名全体とドメイン名を手動で入力します
- 「追加」ボタンをクリックします
- 完了をクリックし、変更を送信して確定します
他方のドメインがWSAによって参加されたドメインと双方向の信頼関係を持たない場合、WSAは手動で設定されたグループと一致しないことに注意してください
注: AsyncOSバージョン7.7以降では、WSAが複数のNTLMレルムをサポートし、2つのドメイン間に信頼関係がないシナリオでは、2番目のドメイン用に新しいNTLMレルムを作成できます。複数のNTLMレルムを使用すると、WSAはアクセスポリシー内の異なるドメインのグループをルックアップできます。