Cisco Cisco Identity Services Engine 1.3 Mode D’Emploi
操作指南
-21-监控模式部署指南
9
程序
3
更改身份库
如果采用预配置规则,
MAB 会使用内部端点存储来查询已知设备的 MAC 地址。如果传入的身份验证请求是
802.1X 身份验证,那么 ISE 会使用“内部用户”数据存储来检查用户名和密码有效性。
如果是其他类型的身份验证(例如
WebAuth),则不会与任何一条预配置规则相匹配,最终会使用默认规则。默
认规则预配置为检查内部用户数据存储。
多数企业不愿对用户帐户使用默认的本地数据存储。绝大多数企业使用
Active Directory 作为主要的用户身份数据
源。因此,我们会将默认规则改为使用
All_ID_Stores 并且将 Dot1X Rules 改为仅使用 Active Directory。
步骤
1 在默认规则中,点击 Internal Users 旁边的减号,打开身份源选择器。
步骤
2 如图 11 所示,点击 Identity Source 列表,选择 All_ID_Stores 身份序列。该身份序列是在《TrustSec 操作
指南:添加身份库和创建身份验证策略》中的“创建身份序列”程序中创建。
图
11:更改身份库
步骤
3 点击 Save 按钮。如图 12 所示,基于规则的策略即已修改。
图
12 更改身份库
步骤
4 记下身份源下面的选项。
各选项的操作为:拒绝、丢弃或继续。表
1 中列出的三个选项以及表 2 中列出的其各自操作都对每个身份验证策略
规则可用,包括默认规则。
表
1 身份验证策略选项
选项
描述
身份验证失败
收到身份验证已失败的明确回应,例如错误凭证、禁用的用户等。默认操作是
“拒绝”。
未找到用户
在任何身份数据库中均未找到此用户。默认操作是“拒绝”。
处理失败
无法访问身份数据库。默认操作是“丢弃”。