一、WSA加域前
WSA在加域之前,AD域控需要将自己设定为可信任的NTP服务器,所以需要修改注册表:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中的Enabled值改成0x00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config中的LocalClockDispersion值改成0x00000000
同时,需要在AD域控中添加DNS解析记录:
- NTP 指向自己
- AD 指向自己
- WSA 指向150.1.7.213
二、WSA加域
1、WSA集成AD域控
WSA加域或者叫WSA集成AD域,进入WSA的Network界面,选中Authentication,即可集成外部身份源了。Authentication可以选择LDAP或者Active Directory,关于AD的可操作选项比LDAP的选项更加丰富,可见思科设备和微软设备的联动性之高。
L2TP VPN就是微软的PPTP技术和思科L2F技术的儿子
2、WSA同步NTP服务器
WSA设置时间同步服务器,由于之前在AD域控中的DNS服务器中添加了A记录指向NTP(实际的FQDN=ntp.cisco.com),那么在WSA中就选择Use Network Time Protocol而不是Set Time Manually。NTP服务器填写说明:
- Enable NTP Server Authentication:启用与NTP服务器之间的通讯认证,当通过NTP的认证后,允许做出同步时间的操作。建议勾选,提升整体安全性,但是需要设置NTP服务器端用于认证的Key ID、Key Value、Key Type
- Add Row:可以添加多个NTP服务器,以提高可靠性。保证主用NTP服务器断开后,WSA仍然能够通过备用NTP服务器来同步时间
- NTP Server:可以选择路由器充当NTP服务器,也可以使用专业的NTP服务器比如本实验中的AD域控的NTP服务
- Update Now:设置完主备NTP服务器后并不代表你的WSA已经同步时间了,而是需要点击Update Now使其开始同步时间。
至此,我们完成了WSA的加域操作,类似的,我们可以使用LDAP服务器去做。加域操作的目的就是为了在后续代理流量的过程中,使用Category、Identification Profile、Access Policies去做更加精细化的控制。举个栗子:AD域控中的Domain User张三,在工作时间允许访问
- 通过某个协议/某个User Agent去访问
- 除URL=www.jd.com和www.taobao.com外的所有网站
- 但是需要通过审查,审查包括病毒防护和数据安全