Cisco Cisco Identity Services Engine 1.3 전단
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Sources(外部身份源)
> Certificate Authentication Profile(证书身份验证配置文件) > Add(添加)。
> Certificate Authentication Profile(证书身份验证配置文件) > Add(添加)。
步骤 2
输入证书身份验证配置文件的名称和可选说明。
步骤 3
从下拉列表中选择身份库。
基本证书检查不需要身份源。 如果希望对证书进行二进制比较检查,必须选择身份源。 如果您选择 Active
Directory 作为身份源,主题和公用名称和主题备选名称(所有值)可用来查找用户。
基本证书检查不需要身份源。 如果希望对证书进行二进制比较检查,必须选择身份源。 如果您选择 Active
Directory 作为身份源,主题和公用名称和主题备选名称(所有值)可用来查找用户。
步骤 4
从 Certificate Attribute(证书属性)或 Any Subject or Alternative Name Attributes in the Certificate(证书中的
任何主题或备选名称属性)选择使用身份。 这将用于日志以及查找。
如果您选择 Any Subject or Alternative Name Attributes in the Certificate(证书中的任何主题或备选名称属性),
Active Directory UPN 将作为用户名用于日志,并尝试使用证书中的所有主题名称和备选名称查找用户。 只有选
择 Active Directory 作为身份源时,此选项才可用。
任何主题或备选名称属性)选择使用身份。 这将用于日志以及查找。
如果您选择 Any Subject or Alternative Name Attributes in the Certificate(证书中的任何主题或备选名称属性),
Active Directory UPN 将作为用户名用于日志,并尝试使用证书中的所有主题名称和备选名称查找用户。 只有选
择 Active Directory 作为身份源时,此选项才可用。
步骤 5
根据需要,确定是否选择 Match Client Certificate Against Certificate In Identity Store(对比客户端证书与身份
库中的证书)。 对于此项,您必须选择身份源(LDAP 或 Active Directory)。如果选择 Active Directory,您可
以选择对比证书仅用于解决身份模糊问题。
库中的证书)。 对于此项,您必须选择身份源(LDAP 或 Active Directory)。如果选择 Active Directory,您可
以选择对比证书仅用于解决身份模糊问题。
• Never(从不)- 此选项不执行二进制比较。
• Only to resolve identity ambiguity(仅用于解决身份模糊)- 只有遇到身份模糊问题时,此选项才执行客户端
证书与 Active Directory 中帐户的证书的二进制比较。 例如,找到与证书中的身份名称匹配的多个 Active
Directory 帐户。
Directory 帐户。
• Always perform binary comparison(始终执行二进制比较)- 此选项始终执行客户端证书与身份库(Active
Directory 或 LDAP)中帐户的证书的二进制比较。
步骤 6
点击 Submit(提交)添加证书身份验证配置文件或保存更改。
修改密码更改、机器身份验证和机器访问限制设置
开始之前
您必须将思科 ISE 加入 Active Directory 域。
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Sources(外部身份源)
> Active Directory。
> Active Directory。
步骤 2
点击 Advanced Settings(高级设置)选项卡。
步骤 3
根据需要,修改密码更改、机器身份验证和机器访问限制 (MAR) 设置。
默认情况下启用这些选项。
默认情况下启用这些选项。
18