Cisco Cisco Identity Services Engine 1.3 전단
执行各种操作所需的 Active Directory 帐户权限
思科 ISE 机器帐户
退出操作
加入操作
对于新创建的用来与 Active Directory
连接通信的思科 ISE 机器帐户,需要
以下权限:
连接通信的思科 ISE 机器帐户,需要
以下权限:
• 能够更改自己的密码
• 读取与要进行身份验证的用户/机
器对应的用户/机器对象
• 查询 Active Directory 的某些部
分,以了解需要的信息(例如,
受信任的域,备选 UPN 后缀
等。)
受信任的域,备选 UPN 后缀
等。)
• 能够读取 tokenGroups 属性
您可以在 Active Directory 中预先创建
机器帐户,如果 SAM 名称与思科 ISE
设备主机名匹配,应在加入操作时找
到它并重复使用。
机器帐户,如果 SAM 名称与思科 ISE
设备主机名匹配,应在加入操作时找
到它并重复使用。
如果执行多个加入操作,会在思科ISE
中维护多个机器帐户,即为每个加入
维护一个帐户。
中维护多个机器帐户,即为每个加入
维护一个帐户。
对于用于执行退出操作的帐户,需要
以下权限:
以下权限:
• 搜索 Active Directory(以查看思
科 ISE 机器帐户是否已存在)
• 从域中删除思科 ISE 机器帐户
如果您执行强制退出(不提供密码即
退出),则不会从域中删除机器帐
户。
退出),则不会从域中删除机器帐
户。
对于用于执行加入操作的帐户,需要
以下权限:
以下权限:
• 搜索 Active Directory(以查看思
科 ISE 机器帐户是否已存在)
• 在域中创建思科 ISE 机器帐户
(如果机器帐户尚不存在)
• 设置新机器帐户的属性(例如,
思科 ISE 机器帐户密码、SPN、
dnsHostname)
dnsHostname)
加入操作不要求一定由域管理员执
行。
行。
用于加入或退出操作的凭证不存储在思科 ISE 中。 仅存储新创建的思科 ISE 机器帐户凭证。
注释
必须开放用于通信的网络端口
备注
已经过身份验证
目标
端口(远程/本地)
协议
-
否
DNS 服务器/AD 域控
制器
制器
随机数大于或等于
49152
49152
DNS (TCP/UDP)
-
是
域控制器
445
MSRPC
MS AD/KDC
是 (Kerberos)
域控制器
88
Kerberos (TCP/UDP)
-
是
域控制器
389
LDAP (TCP/UDP)
7