Cisco Cisco Identity Services Engine 1.3 전단

功能

身份验证协议

• 用户和机器身份验证

• 组和属性检索

• 二进制证书比较

受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS)

用户身份验证

轻型可扩展身份验证协议 (LEAP)

Active Directory 用户身份验证流程

当对用户进行身份验证或查询时，思科 ISE 会检查以下内容：

• MS-CHAP 和 PAP 身份验证会检查用户是否被禁用、锁定、过期或者登录超时，如果出现上述情况，则身份验证失

败。

• EAP-TLS 身份验证会检查用户是否被禁用或锁定，如果出现上述情况，则身份验证失败。

此外，如果出现上述情况（例如，用户被禁用），您还可以设置 IdentityAccessRestricted 属性。 设置 IdentityAccessRestricted
属性是为了支持旧版策略，但在思科 ISE 1.3 中不需要此属性，因为在出现上述情况（如用户被禁用）时身份验证会失败。

支持的用户名格式

以下是支持的用户名类型：

• SAM，例如：jdoe

• 以 NetBIOS 为前缀的 SAM，例如：ACME\jdoe

• UPN，例如：jdoe@acme.com

• 备用 UPN，例如：john.doe@acme.co.uk

• 子树，例如：johndoe@finance.acme.com

• SAM 机器，例如：laptop$

• 以 NetBIOS 为前缀的机器，例如：ACME\laptop$

• FQDN DNS 机器，例如：host/laptop.acme.com

• 仅主机名的机器，例如：host/laptop