Cisco Cisco Identity Services Engine 1.3 プリント
© 2015 思科系统公司
第
10 页
安全访问操作指南
步骤
3. 使用以下信息完成授权配置文件:
Name = Employee-Profile
Description = Authorization Profile for Employees (Enforcement Mode)
Access-Type = ACCESS_ACCEPT
-- Common Tasks
DACL Name = Employee-ACL
Wireless LAN Controller (WLC) = Employee-ACL
步骤
4. 点击 Submit。
以下是我们示例中使用的最终授权配置文件列表的屏幕截图:
图
7. 标准授权配置文件
调整域计算机授权
在低影响模式下,我们创建了域计算机授权配置文件并通过使用
PERMIT_ALL_TRAFFIC dACL 来允许所有
流量。在实施模式下,应锁定流量,确保只有那些
Windows 域成员的所需端口可与 Active Directory 通信。
步骤
1. 导航至 Policy Policy Elements Results Authorization Downloadable ACLs。
步骤
2. 点击 Add。
步骤
3. 如下所述,完成新的 dACL。
Name = AD-Machine-ACL
Description = dACL used to permit Windows to communicate to AD for Machine Auth (Enforcement Mode)
DACL Content =
permit udp any eq bootpc any eq bootps !DHCP
permit udp any any eq domain !DNS
permit icmp any any !ICMP Ping
permit tcp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 123 !NTP
permit tcp any host 10.1.100.10 eq 135 !RPC
permit udp any host 10.1.100.10 eq 137 !NetBIOS-Nameservice
permit tcp any host 10.1.100.10 eq 139 !NetBIOS-SSN