使用TSM单点登录方式进行认证的用户不能访问网络资源

发布时间:  2014-09-20 浏览次数:  175 下载次数:  0
问题描述
如图25-1所示,某企业在网络边界处部署了NGFW作为网关,连接内部网络与Internet。内部网络中已经部署了TSM身份验证机制,管理员在NGFW上配置了用户管理和认证机制,使用TSM单点登录方式对内部网络用户进行认证。
图25-1 使用TSM单点登录方式进行认证的用户不能访问网络资源组网图

实际使用中,发现研发部员工和市场部员工可以正常登录到TSM,但是无法使用浏览器访问Internet上的网站。
处理过程
不存在研发部员工和市场部员工的用户表项。
可能原因及相应的处理步骤如下:
1. TSM控制器的设置有误。
检查TSM控制器的配置,TSM控制器上设置的参数应该与NGFW上设置的参数保持一致。
2. 在线用户已经达到最大值。
选择“对象 > 用户 > 在线用户”,查看在线用户的数量。
存在研发部员工和市场部员工的用户表项。
可能原因及相应的处理步骤如下:
1. 研发部员工和市场部员工的用户已经被冻结。
选择“对象 > 用户 > 在线用户”,查看被冻结的用户。如果研发部员工和市场部员工的用户已经被冻结,使用“解冻”功能取消冻结。
2. 研发部员工和市场部员工属于新用户,被加入到指定的组中,该组的权限设置有误。
选择“对象 > 用户 > 认证选项 > 单点登录”,查看TSM单点登录的临时组。然后以临时组为查询条件,查询所有引用了该组的安全策略,检查安全策略及其配置文件是否将研发部员工和市场部员工发出的流量阻断。
3. 安全策略配置有误。
选择“监控 > 策略命中日志”,以研发部员工和市场部员工的用户名或源地址为查询条件,查询命中的安全策略。然后检查安全策略及其配置文件是否将研发部员工和市场部员工发出的流量阻断。
根因
选择“对象 > 用户 > 在线用户”,在“在线用户列表”中以研发部员工或市场部员工的登录名为条件,查询是否存在研发部员工和市场部员工的用户表项。根据查询结果可以缩小可能原因的范围,请分别按以下情况逐一排查可能原因:
 不存在研发部员工和市场部员工的用户表项。
 存在研发部员工和市场部员工的用户表项。

END