Cisco Cisco Identity Services Engine 1.3 전단
• 如果身份与 ACME\[IDENTITY] 匹配,则重写为 ACME2\[IDENTITY]。
结果是 ACME2\jdoe。 此规则指示思科 ISE 将具有特定前缀的所有用户名更改为使用备用前缀。
• 如果身份与 [ACME]\jdoe.USA 匹配,则重写为 [ACME]\jdoe.USA。
结果是 jdoe\ACME.com。 此规则指示思科 ISE 删掉点后面的领域(在本例中是国家/地区),替换为正确的领域。
• 如果身份与 E=[IDENTITY] 匹配,则重写为 [IDENTITY]。
结果是 jdoe。 如果身份来自证书,字段是电邮地址,而且 Active Directory 配置为按主题搜索,则可以创建此示例规
则。 此规则指示思科 ISE 删除“E=”。
则。 此规则指示思科 ISE 删除“E=”。
• 如果身份与 E=[EMAIL],[DN] 匹配,则重写为 [DN]。
此规则会将证书主题从 E=jdoe@acme.com, CN=jdoe, DC=acme, DC=com 转变为纯 DN, CN=jdoe, DC=acme, DC=com。
如果身份取自证书主题,且 Active Directory 配置为按 DN 搜索用户,则可以创建此示例规则。 此规则指示思科 ISE
删掉电邮前缀并生成 DN。
如果身份取自证书主题,且 Active Directory 配置为按 DN 搜索用户,则可以创建此示例规则。 此规则指示思科 ISE
删掉电邮前缀并生成 DN。
以下是编写身份重写规则的一些常见错误:
• 如果身份与 [DOMAIN]\[IDENTITY] 匹配,则重写为 [IDENTITY]@DOMAIN.com。
结果是 jdoe@DOMAIN.com。 此规则在规则的重写端没有用方括号 [] 括起来的 [DOMAIN]。
• 如果身份与 DOMAIN\[IDENTITY] 匹配,则重写为 [IDENTITY]@[DOMAIN].com。
同样,结果是 jdoe@DOMAIN.com。 此规则在规则的评估端没有用方括号 [] 括起来的 [DOMAIN]。
身份重写规则始终应用在 Active Directory 加入点的情景中。 即使由于身份验证策略而选择了范围,重写规则也应用于每
个 Active Directory 加入点。 如果使用 EAP-TLS,这些重写规则也应用于取自证书的身份。
个 Active Directory 加入点。 如果使用 EAP-TLS,这些重写规则也应用于取自证书的身份。
启用身份重写
此配置任务是可选的。 您可以执行此任务来减少因各种原因(如模糊的身份错误)而可能出现
的身份验证失败。
的身份验证失败。
注释
开始之前
您必须将思科 ISE 加入 Active Directory 域。
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Sources(外部身份源)
> Active Directory。
> Active Directory。
步骤 2
点击 Advanced Settings(高级设置)选项卡。
步骤 3
在 Identity Rewrite(身份重写)部分下,选择是否应用重写规则来修改用户名。
步骤 4
输入匹配条件和重写结果。 您可以删除出现的默认规则并根据需要输入规则。 思科 ISE 按顺序处理策略,并且
应用第一个与请求用户名匹配的条件。 您可以使用匹配的标记(方括号中包含的文本),将原始用户名的元素
应用第一个与请求用户名匹配的条件。 您可以使用匹配的标记(方括号中包含的文本),将原始用户名的元素
21