Cisco Cisco Identity Services Engine Express License Bundle Guía De Operación
ISE 1.2 补丁 5/ASA 和 CoA 集成指南
13
创建用于
VPN 重定向的授权配置文件
此授权策略将调用我们在
ASA 上创建的 redirect ACL,并使用户能够安装 NAC 客户端。redirect ACL 可能也已用
于提供对
AV 服务器或 WSUS 的有限访问权限。
程序:导航至策略
(Policy)
策略要素
(Policy Elements)
结果
(Results)
o
从左侧依次选择授权
(Authorization)
授权配置文件
(Authorization Profiles),然后选择添加 (Add)
名称
(Name):Posture-Remediation
说明
(Description):可选
访问类型
(Access type):ACCESS_ACCEPT
在“常见任务”(Common Tasks) 下,选中 Web 重定向 (Web Redirection),然后从下拉
列表中选择客户端调配(安全状态)
(Client Provisioning [Posture])。在 ACL 旁边填写
redirect。(redirect 是我们在本文档的前一节中在 ASA 上创建的 ACL。ACL 框中的文
本区分大小写,必须与
本区分大小写,必须与
ASA ACL 上创建的内容相匹配)
注意:只有在
ASA 向终端提供的 DNS 无法解析 ISE 主机名的情况下,才需要采取以下步骤。
在“高级属性设置”(Advanced Attributes Settings) 下,依次选择 Cisco-VPN3000
CVPN300/ASA/PIX7.x-Primary-DNS。在值框中,提供能够解析 ISE 主机名的 DNS 服务
器的
器的
IP 地址。
使用上述信息(
DNS IP 条目除外),应该会显示与下面显示类似的属性详细信息 (Attributes Detail)。
为合规用户创建动态访问控制列表
(dACL)
dACL 是一个被授权策略调用的访问控制列表。
程序:导航至策略
(Policy)
策略要素
(Policy Elements)
结果
(Results)
o
从左侧依次选择授权
(Authorization)
可下载
ACL (Downloadable ACLs),然后选择添加 (Add)
名称 (Name):输入一个名称(示例:Posture-Compliant)
说明 (Description):返回的安全状态合规
(Posture status returned compliant)
DACL 内容 (DACL Content):permit ip any any
选择提交
(Submit)