檢視次數:
在您配置 NTLM 或 Kerberos 以使用 Active Directory(內部部署)進行單一登入之前,您必須先配置 Active Directory 伺服器和客戶端電腦防護。
重要
重要
請確保您已配置服務閘道,並安裝和啟動 Zero Trust Secure Access 本地閘道。
相關資訊

為 Kerberos 或 NTLM 單一登入配置 Active Directory 伺服器

配置您的 Active Directory 伺服器,以準備在您的網路存取內部閘道上啟用單一登入驗證服務。

要將您的 Active Directory 伺服器配置為 Kerberos 或 NTLM 單一登入,您必須新增一個 DNS 記錄,該記錄用於作為驗證 Proxy 的內部閘道。

步驟

  1. 取得配置了內部部署閘道服務的服務閘道的 IP 位址,您想將其用作驗證 Proxy。
    1. Trend Vision One 控制台上,轉到 Workflow and AutomationService Gateway Management
    2. 點選您想用作驗證 Proxy 的服務閘道識別碼。
    3. 從服務閘道詳細資訊畫面中,複製 IPv4 位址。
  2. 在您的 Active Directory 伺服器主控台上,前往 管理工具DNSForward Lookup Zones
  3. 右鍵點選您希望與指定的網路存取內部部署閘道同步的 Active Directory 網域名稱,然後選擇New Host...
  4. 在出現的New Host畫面中,提供一個Name以進行驗證Proxy。
    請使用一個容易記住的名稱,例如 authproxy
  5. 請輸入用作驗證Proxy的服務閘道的IPv4地址。
    FQDN 欄位會自動填入。複製 FQDN 以便稍後使用。
  6. 點選Add Host
  7. 更新服務閘道 FQDN。
    1. Trend Vision One 控制台上,轉到 Workflow and AutomationService Gateway Management
    2. 定位您用作驗證Proxy的服務閘道。
    3. 點選Configure settings圖示(configure=GUID-657DB993-ADC7-4DEC-8C62-C8739D74760E.png)。
      Service Gateway Settings 視窗出現。
    4. 點選Edit name圖示(Edit=GUID-fbd72244-55f4-4c70-a5b0-e5caf4f0cc8e.png)。
    5. 將值替換為您複製的FQDN
    6. 點選Change,然後點選儲存

配置用戶端電腦以使用 Kerberos 或 NTLM 單一登入

配置您的用戶端電腦,以準備在您的網路存取內部閘道上啟用單一登入驗證服務。

步驟

  1. 為用戶端電腦配置 DNS 伺服器。
    1. 在客戶端電腦上打開網頁瀏覽器,並在網路設定中前往Internet Protocol Version 4 (TCP/IPv4)
    2. Preferred DNS server欄位中,輸入您Active Directory伺服器的IP 位址。
    3. 點選確定
  2. 在客戶端電腦防護上關閉 IPv6。
    1. 在您客戶端電腦的瀏覽器中,前往網路設定中的Internet Protocol Version 6 (TCP/IPv6)
    2. 取消勾選啟用 IPv6 的方框。
    3. 點選確定
  3. 將用戶端電腦加入 Active Directory 網域。
    1. 前往System Properties並選擇電腦名稱標籤。
    2. 選擇Change
    3. 在出現的Computer Name/Domain Changes畫面上,選擇Domain並輸入所需的Active Directory網域名稱。
    4. 點選確定
    5. 確認管理員帳戶的使用者名稱和密碼。
    6. 重新啟動用戶端電腦,並使用 Active Directory 網域使用者帳號憑證登入。
  4. 確保驗證 Proxy 的 FQDN 在用戶端 Proxy 設定中的繞過或例外清單上。
    • 如果您正在使用 PAC 檔案,請將 FQDN 新增到 Trend Vision One 的 PAC 檔案設定中
      1. Trend Vision One 主控台上,依次選擇 Zero Trust Secure AccessSecure Access ConfigurationInternet Access ConfigurationPAC Files
      2. 找到用戶端電腦防護正在使用的 PAC 檔案,然後點選編輯圖示 (modify_connector=d7163417-a1d8-4a5a-8e4b-a8babe128751.jpg)。
      3. 將 FQDN 添加到繞過 Proxy 的列表中。
      4. 點選儲存
      5. 將更新的 PAC 檔案部署到客戶端電腦防護。
    • 如果您在用戶端電腦上使用手動 Proxy 設定,請將 FQDN 添加到 Proxy 例外清單中。
      1. 在客戶端電腦防護上,前往Start設定Network & InternetProxy
      2. 將 FQDN 新增到 Use the proxy server except for addresses that start with the following entries 下的清單中。
      3. 點選儲存
  5. 在用戶端電腦上,根據是否安裝安全存取模組或支援的瀏覽器,將驗證Proxy的FQDN新增到您的內聯網,以允許內聯網區域的自動登入。
    連線方式
    支援的瀏覽器
    設定
    安裝安全存取模組後
    不適用
    1. 前往 控制台Network and Internet網際網路選項 並點選 安全 標籤。
    2. 選擇Local intranet並點選Sites
    3. Local intranet畫面中,點選Advanced,新增驗證Proxy的FQDN,然後點選新增
    4. 關閉螢幕。
    未安裝安全存取模組(請使用支援的瀏覽器)
    Mozilla®Firefox®
    1. 打開 Firefox,在地址欄中輸入 about:config,然後點選 I accept the risk!
    2. 對於 NLTM,在搜尋框中輸入 network.automatic,然後雙擊 network.automatic-ntlm-auth.trusted-uris
    3. 對於 Kerberos:在搜尋框中輸入 network.negotiate-auth,然後雙擊 network.negotiate-auth.trusted-uris
    4. 請輸入驗證 Proxy 的 FQDN,然後點選確定
    Google Chrome™
    Microsoft Edge™(基於Chromium)
    1. 打開網際網路選項並點選安全標籤。
    2. 選擇Local intranet並點選Sites
    3. Local intranet畫面中,點選Advanced,新增驗證Proxy的FQDN,然後點選新增
    4. 關閉螢幕。