Cisco Cisco Identity Services Engine 1.3 Manuale Tecnico
思科安全 ACS 服务选择策略默认规则与思科 ISE 默认策略集一致
您可以使用思科 ISE 中的服务的名称创建策略集。 如果此策略集与服务匹配(5.5/5.6 版本思科安全
ACS 中 SSP 默认规则的结果),则在 1.4 版本思科 ISE 中,此策略集会成为默认策略集。 5.5/5.6 版
本思科安全 ACS 中的 SSP 规则的条件会成为 1.4 版本思科 ISE 中的策略集的输入条件。 对于 1.4 版
本思科 ISE 默认策略集,无需任何输入条件。
ACS 中 SSP 默认规则的结果),则在 1.4 版本思科 ISE 中,此策略集会成为默认策略集。 5.5/5.6 版
本思科安全 ACS 中的 SSP 规则的条件会成为 1.4 版本思科 ISE 中的策略集的输入条件。 对于 1.4 版
本思科 ISE 默认策略集,无需任何输入条件。
将思科安全 ACS 的 DenyAccess 服务迁移至思科 ISE 的身份验证和授权策略
当您将 5.5/5.6 版本思科安全 ACS 中的 DenyAccess 服务转换至 1.4 版本思科 ISE 时,身份验证和授
权策略会发生以下变化:
权策略会发生以下变化:
• 身份验证策略仅具有默认外部规则,而且对于 Allowed Protocol,结果设置为 Default Network
Access,对于身份源,结果设置为 DenyAccess。
• 授权策略仅会将默认规则设置为 DenyAccess(标准权限)。
将思科安全 ACS 的服务身份策略迁移至思科 ISE 的策略集身份验证策略
如果您想要将 5.5/5.6 版本思科安全 ACS 中的服务的身份策略转换至 1.4 版本思科 ISE 中的策略集的
身份验证策略,请执行以下操作:
身份验证策略,请执行以下操作:
• 创建一个身份验证策略,其中包含一个处于启用状态的外部规则。
• 将此外部规则的条件指定为 Device:Location starts with All Locations(这始终是匹配的条件)。
• 对于 Allowed Protocol,将默认外部规则的结果设置为 Default Network Access,对于身份源,则
设置为 DenyAccess。
外部规则的结果即相关服务的 Allowed Protocol。 身份验证策略的内部规则是相关身份策略的
规则。 身份验证策略的内部规则的顺序遵循相关身份策略中规则的相同顺序。 身份验证策略
的内部规则的状态(启用、禁用或被监控)与相关身份策略中规则的状态一致。
外部规则的结果即相关服务的 Allowed Protocol。 身份验证策略的内部规则是相关身份策略的
规则。 身份验证策略的内部规则的顺序遵循相关身份策略中规则的相同顺序。 身份验证策略
的内部规则的状态(启用、禁用或被监控)与相关身份策略中规则的状态一致。
将思科安全 ACS 的服务授权策略迁移至思科 ISE 的策略集授权策略
如果您想要将 5.5/5.6 版本思科安全 ACS 中的服务的授权策略转换至 1.4 版本思科 ISE 中的策略集的
授权策略,请注意以下几点:
授权策略,请注意以下几点:
• 策略集 Local Exception Authorization 策略的规则即相关服务的 Exception Authorization 策略的规
则
• 策略集 Authorization 策略的规则即相关服务的 Authorization 策略的规则
• Local Exception Authorization 策略和 Authorization 策略中策略集规则的顺序遵循相关服务的
Local Exception Authorization 策略和 Authorization 策略中规则的顺序
• 策略集 Local Exception Authorization 策略和 Authorization 策略的规则的状态(启用、禁用、受
监控)与相关服务的 Local Exception Authorization 策略和 Authorization 策略的状态一致
1.4 版本思科身份服务引擎迁移工具指南
22
数据迁移原则
策略服务迁移指南