отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Особенности прозрачной авторизации в AD при использовании связки ASA WSA CDA

Добрый день!

Купили SMA + WSA, настроил прозрачную авторизацию в связке с ASA (при настройке очень пригодилась данная статься http://gblogs.cisco.com/ru/idfw_integration_with_asa_wsa_cda/) все отлично работает, но есть одна проблема которая портит все.

Заключается она в следующем (речь идет о Windows 7, на 8 и 8.1 не пробовал):

Если пользователь подключается по RDP (через виндовый терминальный клиент) с другой учетной записью то авторизация на прокси идет с той же учетной записью, что используется для подключения по RDP, а там соответственно прав на прокси нет и пользователь остается без доступа в интернет.

Второй вариант - когда администратор подключается к пользователю и устанавливает\удаляет какое либо ПО, а для этого надо авторизоваться, пользователь начинает ходить на прокси под учетной записью администратора до тех пор пока заново не прологинится.

Возможно кто-то сталкивался с подобной проблемой и знает, как порешать.

Спасибо!

 

  • Безопасность (Security)
3 ОТВЕТ.
Cisco Employee

Это плохо лечится. Такова

Это плохо лечится. Такова логика работы CDA в частности и всего этого безусловно очень полезного решения в целом:

CSCui66331    CDA should support RDP and Citrix

1. User A logs into the PC1. 
2. CDA gets the correct mapping for User A to PC 1.
3. From PC1 the user opens RDP session to PC2 and logs in as Administrator.
4. In CDA the PC1-UserA mapping gets overwritten to PC1-Administrator and also a new mapping is created PC2-Administrator.

По-моему такое происходит даже если удаленный диск смонтировать воспользовавшись не своей доменной учетной записью, а какой-то другой.

В CDA д.б. возможность создавать фильтры по юзерам. Можно попробовать отфильтровать Administrator, чтобы для этого имени mappings не создавались.

 

New Member

Спасибо, буду делать фильтр

Спасибо, буду делать фильтр.

Это решит часть проблемы (например DLP, которая идет на машину пользователя, делает свои дела и дальше остается ее логин при обращении к прокси).

Надеюсь в будущем баг исправят окончательно :)

Cisco Employee

Честно-говоря исправление не

Честно-говоря исправление не планируется.

145
Просмотры
0
Полезный материал
3
Ответы