Cisco Cisco Identity Services Engine 1.3 전단
安全访问操作指南
简介
本解决方案说明了如何根据访客所在的
AD 组为其显示不同的自定义成功接入页面。
使用案例
在此需求中,我们以某家公司为例。该公司有许多
Apple 承包商和 Microsoft 承包商需要访问其 Web 门户,他
们希望为不同类型的承包商提供自定义的身份服务引擎
(ISE) Web 身份验证成功接入页面。
详细信息:
•
有两家不同公司的承包商连接到我的网络。例如:Apple_Contractor 和 Microsoft_Contractor。
•
这些承包商使用其 Active Directory 凭证登录集中式 Web 身份验证(访客)门户,从而连接到网络。
•
在承包商登录 Web 身份验证(访客)门户后,根据他们所登录的组,会为他们提供不同的自定义的成
功接入页面:
应为 Apple 承包商提供 Apple 自定义的成功接入页面。
应为 Microsoft 承包商提供 Microsoft 自定义的成功接入页面。
问题
在
ISE 中,成功接入页面是采用硬编码方式写到访客门户中的。因此,如果在承包商登录流程中仅使用一个
已配置的门户,则不可能根据其所在
AD 组显示不同的成功接入页面。
解决方案
利用设备注册
Web 身份验证流程,根据 AD 凭证提供自定义的成功接入页面。
注意
•
由于无法通过 purge 命令清除终端组,因此您需要执行手动清除。ISE 1.3 具有自动清除每个终端组的
功能。
•
由于门户的变迁和构建方式已发生显著变化,本解决方案可能会在升级到 1.3 版本后出现故障。如果
您计划升级,建议您对系统在升级后的运行方式进行验证。
•
ISE 1.3 完成自定义工作的方式与之前有所不同,本文档对此不再赘述。
一般情况下,建议在将任何新解决方案投入生产之前,先在实验室中对其进行试验和验证。
© 2015 思科系统公司
第
3 页