Cisco Cisco Identity Services Engine 1.3 전단
您也可以禁用所选域。
步骤 5
点击 Show Unusable Domains(显示不可用的域)以查看无法使用的域的列表。 无法使用的域是思科 ISE 由于
单向信任、选择性身份验证等原因而无法用于身份验证的域。
单向信任、选择性身份验证等原因而无法用于身份验证的域。
接下来的操作
配置 Active Directory 用户组。
支持的组类型
思科 ISE 支持以下安全组类型:
• 通用
• 全球
• 内置
内置组没有跨域的唯一安全标识符 (SID)。为了解决此问题,思科 ISE 为其 SID 添加它们所属的域名作为前缀。
思科 ISE 使用 AD 属性 tokenGroups 评估用户的组成员身份。 思科 ISE 机器帐户必须有读取 tokenGroups 属性的权限。 此
属性可以包含用户可能是其成员的大约前 1015 个组(实际数量取决于 Active Directory 配置,并可通过重新配置 Active
Directory 来增加数量)。如果用户所属的组多于此数量,则思科 ISE 在策略规则中使用的组不会超过前 1015 个。
属性可以包含用户可能是其成员的大约前 1015 个组(实际数量取决于 Active Directory 配置,并可通过重新配置 Active
Directory 来增加数量)。如果用户所属的组多于此数量,则思科 ISE 在策略规则中使用的组不会超过前 1015 个。
配置 Active Directory 用户组
您必须配置 Active Directory 用户组,使它们可用于授权策略中。 在内部,思科 ISE 使用安全标识符 (SID),以帮助解决组
名模糊问题并提高组映射能力。 SID 提供准确的组分配匹配。
名模糊问题并提高组映射能力。 SID 提供准确的组分配匹配。
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Sources(外部身份源)
> Active Directory。
> Active Directory。
步骤 2
点击 Groups(组)选项卡。
步骤 3
执行以下操作之一:
a)
选择 Add(添加) > Select Groups From Directory(从目录中选择组)以选择现有的组。
b)
选择 Add(添加) > Add Group(添加组)以手动添加组。 您可以提供组名和 SID,或只提供组名并按 Fetch
SID(获取 SID)。
SID(获取 SID)。
11