Cisco Cisco Identity Services Engine 1.3 Fascicule
一用户名或具有域标记的用户名。 或者,如果为每个 Active Directory 域使用特定网络设备,则可以使用身份重写来限定
SAM 名称。
SAM 名称。
解析 UPN
• 如果身份是 UPN,思科 ISE 会搜索每个林的全局目录以查找该 UPN 身份的匹配项。 如果有唯一匹配项,思科 ISE
会继续执行 AAA 流程。 如果多个加入点有相同 UPN,并且未提供密码或者凭密码无法确定正确的帐户,则思科 ISE
会由于“模糊身份”错误而无法执行身份验证。
会由于“模糊身份”错误而无法执行身份验证。
• 思科 ISE 还允许显示为 UPN 的身份同时匹配用户的邮件属性,也就是说,它会搜索“身份=匹配的 UPN 或电邮”。
某些用户使用其电邮名称(通常通过证书)而不是真正的基础 UPN 登录。 如果身份类似电邮地址,则会隐式地完
成。
成。
解析机器身份
• 如果是机器身份验证,并且身份具有主机/前缀,则思科 ISE 会搜索林来寻找匹配的 servicePrincipalName 属性。 如
果身份中已指定完全限定的域后缀,例如 host/machine.domain.com,则思科 ISE 会搜索该域所在的林。 如果身份采
用主机/机器的形式,则思科 ISE 会搜索服务主体名称的所有林。 如果有多个匹配项,则思科 ISE 会由于“模糊身
份”错误而无法执行身份验证。
用主机/机器的形式,则思科 ISE 会搜索服务主体名称的所有林。 如果有多个匹配项,则思科 ISE 会由于“模糊身
份”错误而无法执行身份验证。
• 如果机器采用另一个身份格式,例如 machine@domain.com、ACME\laptop$ 或 laptop$,则思科 ISE 使用通常的 UPN、
NetBIOS 或 SAM 解析算法。
解析 NetBIOS 身份
如果身份具有 NetBIOS 域前缀,例如 ACME\jdoe,则思科 ISE 会搜索 NetBIOS 域的林。 找到后,会在找到的域中查找所
提供的 SAM 名称(在本例中是“jdoe”)。 NetBIOS 域不一定是唯一的(即使在一个林中),因此,搜索可能会找到具
有相同名称的多个 NetBIOS 域。 如果发生这种情况并且已提供密码,则可使用密码来找到正确的身份。 如果仍然模糊或
未提供密码,则思科 ISE 会由于“模糊身份”错误而无法执行身份验证。
提供的 SAM 名称(在本例中是“jdoe”)。 NetBIOS 域不一定是唯一的(即使在一个林中),因此,搜索可能会找到具
有相同名称的多个 NetBIOS 域。 如果发生这种情况并且已提供密码,则可使用密码来找到正确的身份。 如果仍然模糊或
未提供密码,则思科 ISE 会由于“模糊身份”错误而无法执行身份验证。
32