Cisco Cisco Identity Services Engine 1.3 Mode D’Emploi
操作指南
-21-监控模式部署指南
11
授权配置
开始授权配置
程序
1
检查默认思科
ISE 授权策略
如前所述,身份验证只是确认用户凭证。所有的实施和访问控制都发生在网络访问的授权阶段。
步骤
1 导航至 Policy Authorization,然后点击 Edit 以更新规则(图 14)。
图
14 编辑授权策略
授权策略中有一项预配置规则,还有默认规则。就像在身份验证策略中一样,在默认情况下,授权规则表的处理与
访问列表相似:按从上到下的顺序进行处理,并且使用的是第一项符合条件的规则。
访问列表相似:按从上到下的顺序进行处理,并且使用的是第一项符合条件的规则。
注:授权表能够匹配多项规则,可以得到非常复杂的授权结果,但此主题不属于本文档范围。
思科最佳实践:使用默认设置
First Matched Rule Applies。
就像在身份验证策略中一样,授权请求与规则行进行匹配的方式是基于条件而定的。说得更明白一点,我们将检查
预配置规则
预配置规则
Profiled Cisco IP Phones。顾名思义,此规则用于授权在分析过程中确定的思科统一 IP 电话。
表
3:身份验证策略
选项
描述
身份组
手动或动态创建的特殊组,例如
guest 和 Whitelist。
其他条件
所有其他条件,例如
Group Membership。
权限
授权配置文件结果。
思科
ISE 策略采用逻辑 IF-THEN 格式。通过检查此规则,我们发现:
IF
Device is member of ISE ID Group = Cisco-IP-Phone
AND
(no other conditions in this line)
THEN
Assign the Cisco_IP_Phone Authorization Profile
ELSE
Move to next Line in Authentication Policy Table