Como configuro corretamente o NTLM com SSO (credenciais enviadas de forma transparente)?

Opções de download

  • PDF     (233.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (89.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (72.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de julho de 2014
ID do documento:117934

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Contents

Pergunta:


Sintomas: o navegador solicita as credenciais quando a autenticação NTLM é usada.


Ambiente: Cisco Web Security Appliance (WSA), todas as versões do AsyncOS

Vários fatores podem afetar se o cliente envia suas credenciais automaticamente (SSO - Single Sign On) ou solicita que o usuário final insira suas credenciais manualmente.
Verifique os seguintes itens ao tentar implementar NTLM com SSO:


Configuração da autenticação WSA:

Verifique se o WSA está configurado para usar apenas NTLMSSP e não NTLM Basic

Essa configuração pode ser encontrada na GUI na página Web Security Manager > Identities.  Edite a Identidade apropriada e marque a configuração Definir membros por autenticação > Esquemas de autenticação.


Selecione uma das seguintes opções:

  • Usar NTLMSSP
  • Usar Basic ou NTLMSSP
  • Usar Básico

O NTLMSSP permite a funcionalidade para que o cliente envie as credenciais de forma segura e transparente para o proxy da Web. 

O NTLM Basic permite que o cliente envie o nome de usuário e a senha em texto simples quando as credenciais forem solicitadas.

O cliente escolhe o melhor método disponível quando a opção Usar básico ou NTLMSSP é selecionada (recomendável). Se o cliente suportar NTLMSSP, ele usará esse método e todos os outros navegadores usarão Basic. Isso permite compatibilidade máxima.

Confiança do cliente:

Se o cliente não confiar no WSA, ele não enviará suas credenciais de forma transparente. A seguir estão diretrizes para ajudar a solucionar problemas de ambientes em que o cliente não confia no WSA.

O cliente não confia na URL de redirecionamento de autenticação (somente implantações transparentes)

Em uma implantação transparente, o WSA deve redirecionar o cliente para ele mesmo para executar a autenticação. O cliente pode ou não confiar neste local redirecionado.

Por padrão, o WSA redireciona para o FQDN do P1 (ou para a interface M1, se for usada para dados de proxy). Como esse é um FQDN, o Internet Explorer não confiará nele, pois ele acredita que esse é um recurso fora de sua rede.

Há duas maneiras de fazer o Internet Explorer confiar no WSA:

  1. Adicione o FQDN da interface do WSA aos sites confiáveis. Escolha Ferramentas > Opções da Internet > Segurança > Sites confiáveis e clique no botão Sites.
    Observação: esta configuração deve ser alterada em todos os clientes.

  2. Altere a URL de redirecionamento que o WSA usa para ser um nome de host DNS resolvível com uma única palavra.

    Isso pode ser feito por meio da interface da Web. Faça login no WSA como administrador e navegue para Rede > Autenticação.  Em seguida, clique em "Editar configurações globais ..." e modifique "Nome de host de redirecionamento de autenticação transparente"

    Se o WSA não puder resolver esse nome de host usando DNS, mensagens de alerta para erros de configuração serão exibidas.  É recomendável usar o comando DNSCONFIG > localhosts (Observação: 'localhosts' é um comando oculto) e adicionar esse nome de host para resolver a interface WSA usada para dados de proxy.

    Se os seus clientes não conseguirem resolver DNS esse nome de host, eles não conseguirão usar proxy. 

Histórico de revisões

Revisão Data de publicação Comentários
1.0
15-Jul-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Josh Wolfer and Siddharth Rajpathak
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos