Cisco Cisco Identity Services Engine Software Prospecto
© 2015 思科系统公司
第
14 页
安全访问操作指南
图
16 LDAP 外部身份源:搜索组
步骤
17 点击
Save。
内部数据库
/证书授权配置文件 (CAP)/RADIUS 令牌/RADIUS 代理
除
AD 和 LDAP 外,思科 ISE 还支持内部数据库、证书、将 RADIUS 令牌服务器用作 OTP 服务器,
以及通过本地集成将
RSA SecurID 令牌服务器用于身份验证。ISE 提供三种类型的内部数据库:用
户、终端和访客。用户和访客身份数据库通常在使用
802.1x 或 Web 身份验证进行身份验证时用于
终端身份验证。终端身份数据库则用于根据自动分析、设备注册以及手动创建的
MAC 地址白名单或
黑名单对终端进行分类。终端身份源可用于对终端进行简单的
MAB 身份验证,也可在授权过程中与
其他条件搭配用于企业
BYOD 策略。
注:只有在登录发起人门户页面后,访客身份数据库才可见。
证书身份验证配置文件
(CAP) 可用于对以数字证书标识自己身份的终端进行身份验证。在要求使用
数字证书进行相互身份验证的环境中,就会使用此方法。你可以选择使用哪一个
X.509 字段作为终
端身份,例如
CN= 字段的主题或 SAN 的邮箱地址。
如果要与一次性密码
(OTP) 服务器集成,思科 ISE 支持 RADIUS 令牌服务器和本地 SecurID 集成。
当
OTP 服务器在本地运行 RADIUS 并且 ISE 将 RADIUS 请求转发到 OTP RADIUS 服务器时,使用
RADIUS 令牌服务器。如果思科 ISE 在本地终止 RADIUS 并通过安全设备调配 (SDP) 功能将 OTP 请
求转发到
求转发到
SecurID 服务器,则使用 SecurID。
CAP 和 OTP 的配置不属于本文档的讨论范围。有关详细信息,请参阅 ESS 1.1 用户手册文档。