Cisco Cisco Identity Services Engine 1.3 Prospecto
© 2015 思科系统公司
第
7 页
安全访问操作指南
Active Directory 配置
思科
ISE 使用 Active Directory 连接器,因此 TrustSec 部署中的每个思科 ISE 节点都可以加入 AD 域
并访问
AD 资源,正如任何其他 Windows 域成员一样。这种场景在 Active Directory 与 TrustSec 安
全解决方案搭配使用时,能够大幅提高速度、易用性和灵活性。
ISE AD 集成支持多个 AD 域,只要
这些域之间已配置双向信任关系即可。如果要设法将
ISE 集成到不可能在域之间建立双向信任关系
的环境中,请参阅《
TrustSec 多 Active Directory 操作指南》。
思科最佳实践:
时间同步和域名系统 (DNS) 对与 Active Directory 集成具有重要作用。因此,请务必使用网络时间协议 (NTP) 并始终确保为所有
Active Directory 服务器正确配置 DNS 的反向 DNS 指针。
思科
ISE 配置和 Active Directory 集成
程序
1 加入域
分别将每个思科
ISE 节点加入域。以下是所有思科 ISE 节点与 Active Directory 之间必须开放的端口
的列表:
•
SMB (TCP/445)
•
KDC (TCP/88)
•
全局编录(TCP/3268 和 3289)
•
KPASS (TCP/464)
•
NTP (UDP/123)
•
LDAP(TCP 和 UDP/389)
•
LDAPS (TCP/636)
步骤
1
在思科
ISE GUI 中,选择 Administration Identity Management External Identity Sources
Active Directory。
步骤
2 输入 AD Domain Name(在本示例中为 cts.local),然后点击 Save Configuration(图 4)。
图
4 AD 外部身份源:配置 AD 连接器