Cisco Cisco Identity Services Engine 2.1 Prospecto
传递给结果。 如果没有匹配的规则,则身份名称保持不变。 您可以点击 Launch Test(启动测试)按钮来预览
重写处理结果。
重写处理结果。
身份解析设置
某些身份类型包括域标记,如前缀或后缀。 例如,在像 ACME\jdoe 这样的 NetBIOS 身份中,“ACME”是域标记前缀,
同样在像 jdoe@acme.com 这样的 UPN 身份中,“acme.com”是域标记后缀。 域前缀应该与组织中 Active Directory 域的
NetBIOS (NTLM) 名称匹配,域后缀应该与组织中 Active Directory 域的 DNS 名称或备选 UPN 后缀匹配。 例如,
同样在像 jdoe@acme.com 这样的 UPN 身份中,“acme.com”是域标记后缀。 域前缀应该与组织中 Active Directory 域的
NetBIOS (NTLM) 名称匹配,域后缀应该与组织中 Active Directory 域的 DNS 名称或备选 UPN 后缀匹配。 例如,
jdoe@gmail.com 会视为没有域标记,因为 gmail.com 不是 Active Directory 域的 DNS 名称。
身份解析设置允许您配置重要设置来调整安全和性能的平衡,以符合您的 Active Directory 部署。 您可以使用这些设置来
调整没有域标记的用户名和主机名的身份验证。 如果思科 ISE 不知道用户域,可以配置为在所有身份验证域中搜索用户。
即使在一个域中找到用户,思科 ISE 仍将等待所有响应以确保不存在模糊身份。 这可能需要较长时间,具体取决于域的
数量、网络中的延迟、负载等。
调整没有域标记的用户名和主机名的身份验证。 如果思科 ISE 不知道用户域,可以配置为在所有身份验证域中搜索用户。
即使在一个域中找到用户,思科 ISE 仍将等待所有响应以确保不存在模糊身份。 这可能需要较长时间,具体取决于域的
数量、网络中的延迟、负载等。
避免身份解析问题
强烈建议在身份验证期间使用用户和主机的完全限定名称(即具有域标记的名称)。 例如,对用户使用 UPN 和 NetBIOS
名称,对主机使用 FQDN SPN。 如果频繁碰到模糊错误,如多个 Active Directory 帐户与传入的用户名匹配(例如,jdoe
与 jdoe@emea.acme.com 和 jdoe@amer.acme.com 匹配),则上述方法非常重要。 在某些情况下,使用完全限定名称是解
决问题的唯一方法。 在其他情况下,保证用户拥有唯一密码即可。 因此,如果最初使用唯一身份,则更高效并可减少密
码锁定问题。
名称,对主机使用 FQDN SPN。 如果频繁碰到模糊错误,如多个 Active Directory 帐户与传入的用户名匹配(例如,jdoe
与 jdoe@emea.acme.com 和 jdoe@amer.acme.com 匹配),则上述方法非常重要。 在某些情况下,使用完全限定名称是解
决问题的唯一方法。 在其他情况下,保证用户拥有唯一密码即可。 因此,如果最初使用唯一身份,则更高效并可减少密
码锁定问题。
配置身份解析设置
此配置任务是可选的。 您可以执行此任务来减少因各种原因(如模糊的身份错误)而可能出现
的身份验证失败。
的身份验证失败。
注释
开始之前
您必须将思科 ISE 加入 Active Directory 域。
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Sources(外部身份源)
> Active Directory。
> Active Directory。
步骤 2
点击 Advanced Settings(高级设置)选项卡。
步骤 3
在 Identity Resolution(身份解析)部分下,对用户名或机器名称的身份解析定义以下设置。 此设置可提供用于
用户搜索和身份验证的高级控制。
第一个设置适用于没有标记的身份。 在这种情况下,您可以选择以下任何选项:
用户搜索和身份验证的高级控制。
第一个设置适用于没有标记的身份。 在这种情况下,您可以选择以下任何选项:
22