Cisco Cisco Identity Services Engine 1.3 Guida Al Funzionamento

操作指南

-21-监控模式部署指南 

9 

程序

 3 

更改身份库

 

如果采用预配置规则，

MAB 会使用内部端点存储来查询已知设备的 MAC 地址。如果传入的身份验证请求是 

802.1X 身份验证，那么 ISE 会使用“内部用户”数据存储来检查用户名和密码有效性。 

如果是其他类型的身份验证（例如

 WebAuth），则不会与任何一条预配置规则相匹配，最终会使用默认规则。默

认规则预配置为检查内部用户数据存储。

 

多数企业不愿对用户帐户使用默认的本地数据存储。绝大多数企业使用

 Active Directory 作为主要的用户身份数据

源。因此，我们会将默认规则改为使用

 All_ID_Stores 并且将 Dot1X Rules 改为仅使用 Active Directory。 

步骤

 1  在默认规则中，点击 Internal Users 旁边的减号，打开身份源选择器。 

步骤

 2  如图 11 所示，点击 Identity Source 列表，选择 All_ID_Stores 身份序列。该身份序列是在《TrustSec 操作

指南：添加身份库和创建身份验证策略》中的“创建身份序列”程序中创建。

 

图

 11：更改身份库 

 

步骤

 3  点击 Save 按钮。如图 12 所示，基于规则的策略即已修改。 

图

 12 更改身份库 

 

步骤

 4  记下身份源下面的选项。 

各选项的操作为：拒绝、丢弃或继续。表

 1 中列出的三个选项以及表 2 中列出的其各自操作都对每个身份验证策略

规则可用，包括默认规则。

 

表

 1 身份验证策略选项 

选项 

描述 

身份验证失败 

收到身份验证已失败的明确回应，例如错误凭证、禁用的用户等。默认操作是

“拒绝”。 

未找到用户 

在任何身份数据库中均未找到此用户。默认操作是“拒绝”。 

处理失败 

无法访问身份数据库。默认操作是“丢弃”。