Cisco Cisco Identity Services Engine 1.3 Dépliant
© 2015 思科系统公司
第
10 页
安全访问操作指南
有多种方法可用于完成计算机身份验证;例如使用证书和可扩展身份验证协议传输层安全
(EAP-T
LS)。但是,当使用不基于 EAP 的方法时,比如受保护的可扩展身份验证协议 (PEAP) 及 Microsoft
质询握手身份验证协议版本
质询握手身份验证协议版本
2 (PEAP-MSCHAPv2),Windows Supplicants 请求方能够将计算机名称作
为凭证发送。可对思科
ISE 进行配置,以确认该计算机是否存在于 Active Directory 中,如果存在,
即提供连接。
因为这是在部署的监控模式阶段,我们将配置授权规则,允许完全访问计算机。
注:当用户登录时已通过计算机身份验证的
Windows 终端时,请求方将通过局域网 (EAPoL) 启动消息向交换
机端口发送
EAP,以重新开始新的身份验证。在新的身份验证完成后,如果需要,将向交换机端口发送新的
身份验证结果,以更新授权配置文件。
为域计算机创建授权配置文件
步骤
1
导航至
Policy Policy Elements Results。
图
12. 为域计算机添加授权配置文件
步骤
2
点击
Add。
步骤
3
配置新的授权配置文件。
Name = AD_Machine_Access
Description = Authorization Profile for Windows Machine Auth
Access-Type = ACCESS_ACCEPT
-- Common Tasks
Description = Authorization Profile for Windows Machine Auth
Access-Type = ACCESS_ACCEPT
-- Common Tasks
DACL Name = PERMIT_ALL_TRAFFIC
Airespace ACL Name = PERMIT_ALL_TRAFFIC
步骤
4
滚动至底部,点击
Submit。