Cisco Cisco Identity Services Engine 1.3 전단
Revised: February 6, 2015,
思科 ISE 1.3 中的 Active Directory 配置
思科 ISE 1.3 中的 Active Directory 主要功能
以下是思科 ISE 1.3 中 Active Directory 的一些主要功能:
多加入支持
思科 ISE 支持对 Active Directory 域执行多个加入。 思科 ISE 最多支持 50 个 Active Directory 加入。 思科 ISE 能够连接没
有双向信任或者具有零信任的多个 Active Directory 域。 Active Directory 多域加入包括一组不同的 Active Directory 域,对
每个加入有其自己的组、属性和授权策略。
有双向信任或者具有零信任的多个 Active Directory 域。 Active Directory 多域加入包括一组不同的 Active Directory 域,对
每个加入有其自己的组、属性和授权策略。
身份验证域
思科 ISE 在加入 Active Directory 域时会自动发现加入点的受信任域。 然而,并非所有域都可与思科 ISE 相关以执行身份
验证和授权。 思科 ISE 允许您从受信任域中选择一部分来执行身份验证和授权。 此部分域称为身份验证域。 建议将您打
算执行身份验证的用户或机器所在的域定义为身份验证域。 定义身份验证域可阻止其他域以限制在这些域上发生用户身
份验证,从而提高安全性。 它还有助于优化性能,因为您可以跳过与策略和身份验证无关的域,并且帮助思科 ISE 更高
效地执行身份搜索操作。
验证和授权。 思科 ISE 允许您从受信任域中选择一部分来执行身份验证和授权。 此部分域称为身份验证域。 建议将您打
算执行身份验证的用户或机器所在的域定义为身份验证域。 定义身份验证域可阻止其他域以限制在这些域上发生用户身
份验证,从而提高安全性。 它还有助于优化性能,因为您可以跳过与策略和身份验证无关的域,并且帮助思科 ISE 更高
效地执行身份搜索操作。
身份重写
此功能可让思科 ISE 修改从客户端或证书接收的用户名,再将其发送给 Active Directory 进行身份验证。 例如,用户名
jdoe@amer.acme.com 可以重写为 jdoe@acme.com。 使用此功能,您可以修复用户名或主机名,否则身份验证会失败。
jdoe@amer.acme.com 可以重写为 jdoe@acme.com。 使用此功能,您可以修复用户名或主机名,否则身份验证会失败。
您还可以重写证书和进程请求中的身份,这些进程请求是在未正确调配证书时出现的。 相同的身份重写规则适用于传入
的用户名或机器名称,无论这些名称是来自不基于证书的身份验证还是来自证书内部。
的用户名或机器名称,无论这些名称是来自不基于证书的身份验证还是来自证书内部。
模糊身份解析
如果思科 ISE 接收的用户或机器名称模糊,即不是唯一的,则在用户尝试进行身份验证时会导致问题。 如果用户没有域
标记,或者多个域中的多个身份有相同的用户名,就会发生身份冲突。 例如,userA 存在于 domain1 上,另一个 userA 存
在于 domain2 上。 您可以使用身份解析设置来定义此类用户解析的范围。 思科强烈建议您使用限定名,例如 UPN 或
NetBIOS。 限定名可以降低模糊可能性,并减少延迟从而提高性能。
标记,或者多个域中的多个身份有相同的用户名,就会发生身份冲突。 例如,userA 存在于 domain1 上,另一个 userA 存
在于 domain2 上。 您可以使用身份解析设置来定义此类用户解析的范围。 思科强烈建议您使用限定名,例如 UPN 或
NetBIOS。 限定名可以降低模糊可能性,并减少延迟从而提高性能。
基于安全标识符的组成员身份评估
ISE 使用安全标识符 (SID) 来优化组成员身份评估。 SID 的价值体现在两个方面:第一,评估组时可提升效率(速度);
第二,在域关闭而用户为该域中的组成员时,灵活适应延迟情况。 当删除组并创建同名的新组作为原始组时,必须更新
第二,在域关闭而用户为该域中的组成员时,灵活适应延迟情况。 当删除组并创建同名的新组作为原始组时,必须更新
SID 以将新 SID 分配给新创建的组。
4