Cisco Cisco Identity Services Engine 1.3 전단
针对 Active Directory 身份验证测试用户
测试身份验证可用于对最终用户的身份验证和授权问题进行故障排除。 您可以使用测试用户功能验证用户身份验证。 您
可以选择获取组和属性并检查它们。 您可以对单一加入点或对范围运行测试。
可以选择获取组和属性并检查它们。 您可以对单一加入点或对范围运行测试。
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Sources(外部身份源)
> Active Directory。
> Active Directory。
步骤 2
选择以下选项之一:
• 要对所有加入点运行测试,请选择 Advanced Tools(高级工具) > Test User for All Join Points(对所有加
入点测试用户)。
• 要对特定加入点运行测试,请选择该加入点,然后点击 Edit(编辑)。 选择思科 ISE 节点并点击 Test User
(测试用户)。
步骤 3
输入在 Active Directory 中用户(或主机)的用户名和密码。
步骤 4
选择身份验证类型。 如果选择查找身份验证类型,则不需要步骤 3 中输入的密码。
步骤 5
如果您要对所有加入点运行测试,请选择要对其运行此测试的思科 ISE 节点。
步骤 6
如果要检索组和/或属性,请选中对应的复选框。
步骤 7
点击 Test(测试)。
会显示测试操作的结果和步骤。 这些步骤可帮助确定失败原因和进行故障排除。
会显示测试操作的结果和步骤。 这些步骤可帮助确定失败原因和进行故障排除。
对 Active Directory 多加入配置的支持
思科 ISE 支持对 Active Directory 域执行多个加入。 思科 ISE 最多支持 50 个 Active Directory 加入。 思科 ISE 能够连接没
有双向信任或者具有零信任的多个 Active Directory 域。 Active Directory 多域加入包括一组不同的 Active Directory 域,对
每个加入有其自己的组、属性和授权策略。
有双向信任或者具有零信任的多个 Active Directory 域。 Active Directory 多域加入包括一组不同的 Active Directory 域,对
每个加入有其自己的组、属性和授权策略。
您可以多次加入同一个林,即必要时您可以加入同一个林中的多个域。
思科 ISE 现在允许加入单向信任的域。 此选项有助于避免单向信任造成的权限问题。 您加入其中任一受信任域即可看到
两个域。
两个域。
• 加入点 - 在思科 ISE 中,对 Active Directory 域的每个加入称为一个加入点。 Active Directory 加入点是思科 ISE 身份
库,可用于身份验证策略。 它有包括属性和组的关联词典,可用于授权条件。
• 范围 - 一部分 Active Directory 加入点组合在一起称为一个范围。 您可以在身份验证策略中使用范围(而不是单个加
入点)作为身份验证结果。 范围用于根据多个加入点对用户进行身份验证。 如果您使用范围,可以创建具有单一规
则的相同策略,而不用为每个加入点创建多条规则,从而可节省思科 ISE 处理请求的时间,有助于改善性能。 一个
加入点可存在于多个范围中。 范围可以包含在身份源序列中。 您无法在授权策略条件中使用范围,因为范围没有任
何关联字典。
则的相同策略,而不用为每个加入点创建多条规则,从而可节省思科 ISE 处理请求的时间,有助于改善性能。 一个
加入点可存在于多个范围中。 范围可以包含在身份源序列中。 您无法在授权策略条件中使用范围,因为范围没有任
何关联字典。
13