Cisco Cisco Identity Services Engine 1.3 Leaflet

第

11 页

安全访问操作指南

permit tcp any host 10.1.100.10 eq 389 !LDAP

permit udp any host 10.1.100.10 eq 389 !LDAP

permit tcp any host 10.1.100.10 eq 445 !MS-DC/SMB

permit tcp any host 10.1.100.10 eq 636 !LDAP w/ SSL

permit udp any host 10.1.100.10 eq 636 !LDAP w/ SSL

permit tcp any host 10.1.100.10 eq 1025 !non-standard RPC

permit tcp any host 10.1.100.10 eq 1026 !non-standard RPC

步骤

4. 在无线局域网控制器上创建与此相同的 ACL。

步骤

5. 导航至 Policy  Policy Elements  Results  Authorization  Authorization Profiles。

步骤

6. 点击 AD_Machine_Access。

步骤

7. 如下修改授权配置文件：

Name = AD_Machine_Access

Description = Authorization Profile for Windows Machine Auth.

Access-Type = ACCESS_ACCEPT

-- Common Tasks



DACL Name = AD-Machine-ACL



Wireless LAN Controller (WLC) = AD-Machine-ACL

为每个主要角色创建其他授权策略规则

为每个需要不同授权的角色重复此程序。在本文中，我们将讲解如何创建

HR 授权策略规则，并显示包括所

有已定义授权策略规则的最终屏幕。

步骤

1. 导航至 Policy  Authorization。

步骤

2. 在“白名单”规则下面插入一个新的策略规则。

步骤

3. 将该规则命名为 HR-Rule。

步骤

4. 将 Identity Group 留为 Any。

步骤

5. 在 Other Conditions 中，选择 AD1:External Groups  Equals  HR。

步骤

6. 点击齿轮图标。

步骤

7. 添加属性。

步骤

8. 将表达式设置为 Device:Stage  Equals  LowImpact。

步骤

9. 在权限方面，选择 Standard  HR-Profile。

步骤

10. 点击 Save。

步骤

11. 对每个不同的角色类型重复整个程序。

禁用域用户规则

步骤

1. 导航至 Policy  Authorization。

步骤

2. 点击 Status 下的绿色箭头，找到 Domain Users Rule。

步骤

3. 更改为



Disabled。

步骤

4. 点击 Save。