질문:
증상: NTLM 인증이 사용될 때 브라우저에 자격 증명 프롬프트가 표시됩니다.
환경:Cisco WSA(Web Security Appliance), 모든 버전의 AsyncOS
클라이언트가 자격 증명을 자동으로 전송할지(SSO - Single Sign On) 아니면 최종 사용자에게 자격 증명을 수동으로 입력하라는 프롬프트를 표시할지 여부에 영향을 줄 수 있습니다.
SSO를 사용하여 NTLM을 구현하려는 경우 다음 항목을 확인하십시오.
WSA 인증 구성:
WSA가 NTLMSSP를 사용하도록 설정되어 있고 NTLM Basic만 사용하도록 설정되어 있지 않은지 확인합니다.
이 설정은 GUI의 Web Security Manager(웹 보안 관리자) > Identities(ID) 페이지에서 찾을 수 있습니다. 적절한 ID를 편집한 다음 Define Members by Authentication(인증별 구성원 정의) > Authentication Schemes(인증 체계) 설정을 선택합니다.
다음 옵션 중 하나를 선택합니다.
-
NTLMSSP 사용
-
기본 또는 NTLMSSP 사용
-
기본 사용
NTLMSSP는 클라이언트가 자격 증명을 웹 프록시에 안전하고 투명하게 보낼 수 있도록 합니다.
NTLM Basic에서는 자격 증명을 묻는 메시지가 표시될 때 클라이언트가 사용자 이름 및 비밀번호를 일반 텍스트로 전송할 수 있습니다.
클라이언트는 Use Basic(기본 또는 NTLMSSP 사용) 옵션을 선택한 경우 가장 적합한 방법을 선택합니다(권장). 클라이언트가 NTLMSSP를 지원하는 경우 이 방법을 사용하고 다른 모든 브라우저에서는 Basic을 사용합니다. 이를 통해 호환성을 극대화할 수 있습니다.
클라이언트 트러스트:
클라이언트가 WSA를 신뢰하지 않으면 자격 증명을 투명하게 전송하지 않습니다. 다음은 클라이언트가 WSA를 신뢰하지 않는 환경을 트러블슈팅하는 데 도움이 되는 지침입니다.
클라이언트는 인증 리디렉션 URL을 신뢰하지 않습니다(투명 배포에만 해당).
투명 구축에서 WSA는 인증을 수행하기 위해 클라이언트를 자신에게 리디렉션해야 합니다. 클라이언트는 리디렉션된 이 위치를 신뢰할 수도 있고 신뢰하지 않을 수도 있습니다.
기본적으로 WSA는 P1의 FQDN(또는 프록시 데이터에 사용되는 경우 M1 인터페이스)으로 리디렉션됩니다. FQDN이므로 Internet Explorer에서는 이 리소스가 네트워크 외부의 리소스인 것으로 간주하므로 신뢰하지 않습니다.
Internet Explorer가 WSA를 신뢰할 수 있도록 하는 방법에는 두 가지가 있습니다.
-
WSA 인터페이스 FQDN을 신뢰할 수 있는 사이트에 추가합니다. Tools > Internet Options > Security > Trusted Sites를 선택하고 Sites 버튼을 클릭합니다.
참고: 이 컨피그레이션은 모든 클라이언트에서 변경해야 합니다.
-
WSA에서 사용하는 리디렉션 URL을 DNS 확인 가능한 단일 단어 호스트 이름으로 변경합니다.
이는 웹 인터페이스를 통해 수행할 수 있습니다. WSA에 관리자로 로그인하고 Network(네트워크) > Authentication(인증)으로 이동하십시오. 그런 다음 "Edit Global Settings ..."를 클릭하고 "Transparent Authentication Redirect Hostname"을 수정합니다.
WSA에서 DNS를 사용하여 이 호스트 이름을 확인할 수 없는 경우 구성 오류에 대한 알림 메시지가 나타납니다. DNSCONFIG > localhosts(참고: 'localhosts'는 숨겨진 명령임) 명령을 사용하고 이 호스트 이름을 추가하여 프록시 데이터에 사용되는 WSA 인터페이스에 확인하는 것이 좋습니다.
클라이언트에서 이 호스트 이름을 DNS로 확인할 수 없는 경우 클라이언트에서 프록시를 수행할 수 없습니다.