Cisco Cisco Identity Services Engine Software Guía De Diseño
© 2015 思科系统公司
第
110 页
安全访问操作指南
层次结构一般用于匹配
OUI。例如,所有 Apple 设备都有一个等于 Apple 的 OUI。因此,不必为 iPad、iPod、
iPhone 等重复此条件。要与 Apple-iPhone 配置文件匹配,就要求该终端也有一个 Apple OUI。这就是为什么
使用名称为
使用名称为
User Agent Switch 的简单 Firefox 浏览器插件(其将单独模拟其他浏览器 User-Agent 字符串)将
不会达到
Apple iPhone 的配置文件条件的原因。没有 Apple MAC 地址,父条件无法通过测试。如本指南前文
所述,分析并不是一种防监听解决方案,但是此解决方案的有些功能确实可以自然地消除某些监听活动。
层次结构也有利于简化身份组分配的匹配。如果父策略映射至身份组,则不必将所有子策略都映射至身份组。
例如,对于思科
例如,对于思科
IP 电话就有很多预置配置文件。通过为思科 IP 电话(默认设置)创建匹配的身份组,可以根
据其父级创建授权策略,而无需为每个子策略逐一创建身份组。这可以大幅简化授权策略规则。除非具体型
号的
号的
IP 电话要求特殊处理,否则都可以通过引用父配置文件和身份组分配统一处理。
为分析策略创建匹配的身份组
步骤
1 在本程序中,为用户定义的配置文件策略创建了一个名称为 APC-UPS 的身份组。
步骤
2 转至 Policy Profiling 并从配置文件列表选择 APC-UPS。
步骤
3 选择选项 Create Matching Identity Group,然后点击 Save,提交更改。
步骤
4 返回 Administration Identity Management Identities Endpoints 下的 Internal Endpoints 列表,
再从已分配至
APC-UPS 配置文件的终端中选择一个终端(图 86)。
图
84. 用户定义的配置文件的终端身份组示例
注:
Identity Group Assignment 已从 Unknown 改为 APC-UPS。
步骤
5 转至 Administration Identity Management Groups ,然后在左侧窗格中点击 Endpoint Identity
Groups 左边的箭头( ),展开其内容,如图 87 所示。