Cisco Cisco Identity Services Engine 1.3 전단
步骤 4
如果要将 Kerberos 用于明文身份验证,请选中 Use Kerberos for Plain Text Authentications(使用 Kerberos 进
行明文身份验证)复选框。 默认和建议的选项是 MS-RPC。 Kerberos 用于 ISE 1.2 中。
行明文身份验证)复选框。 默认和建议的选项是 MS-RPC。 Kerberos 用于 ISE 1.2 中。
相关主题
Active Directory 基于密码的身份验证 ,第 17 页
针对 Active Directory 实例的授权
以下部分介绍思科 ISE 根据 Active Directory 对用户或计算机授权的机制。
授权策略中使用的 Active Directory 属性和组检索
思科 ISE 从 Active Directory 检索用户或机器属性和组以用于授权策略规则。 这些属性可用于思科 ISE 策略并确定用户或
机器的授权级别。 思科 ISE 在身份验证成功后会检索用户和机器 Active Directory 属性,也可以对与身份验证无关的授权
检索属性。
机器的授权级别。 思科 ISE 在身份验证成功后会检索用户和机器 Active Directory 属性,也可以对与身份验证无关的授权
检索属性。
思科 ISE 可能使用外部身份库中的组来为用户或计算机分配权限;例如,将用户映射到主赞方组。 应该注意 Active Directory
中的以下组成员身份限制:
中的以下组成员身份限制:
• 策略规则条件可能指以下任一项:用户或计算机的主要组、用户或计算机是其直接成员的组,或者间接(嵌套)组。
• 在用户或计算机的帐户域外的域本地组不受支持。
按加入点检索和管理属性和组。 它们用于授权策略(首先选择加入点,然后选择属性)。 您无法对授权按范围定义属性
或组,但可以对身份验证策略使用范围。 当您在身份验证策略中使用范围时,可能会通过一个加入点对用户进行身份验
证,但通过另一个具有用户帐户域的信任路径的加入点检索属性和/或组。 您可以使用身份验证域来确保一个范围中的任
两个加入点在身份验证域中不会重叠。
或组,但可以对身份验证策略使用范围。 当您在身份验证策略中使用范围时,可能会通过一个加入点对用户进行身份验
证,但通过另一个具有用户帐户域的信任路径的加入点检索属性和/或组。 您可以使用身份验证域来确保一个范围中的任
两个加入点在身份验证域中不会重叠。
请参阅 Microsoft 对可用的最大 Active Directory 组数施加的限制:
http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=WS.10).aspx
注释
如果规则包含的 Active Directory 组名称有特殊字符(例如,/!@\#$%^&*()_+~),授权策略会失败。
授权策略字典属性
授权策略由条件根据字典属性确定。 每个 Active Directory 加入点都有包括属性和组的关联字典。
说明
属性
字典
此属性指示哪个加入点用于用户身份
验证。
验证。
AD-User-Join-Point
网络接入
19