Cisco Cisco Identity Services Engine 1.3 작동 가이드
操作指南
-21-监控模式部署指南
7
配置身份验证
程序
1
检查默认思科
ISE 身份验证策略
步骤
1 导航至 Policy Authentication(图 6)。
图
6 添加身份验证策略
身份验证策略中有两条预配置规则以及一条默认规则。策略规则表与访问列表一样,从上向下进行处理,采用第一
条匹配的规则。
条匹配的规则。
身份验证请求与规则行按照一定条件进行匹配。为详细说明,我们将具体介绍一下第一条预配置规则
MAB,这是交
换机中用于
MAC 身份验证绕行的规则。
思科
ISE 策略采用逻辑 IF-THEN 格式。请注意显示为 Wired_MAB 的“选择器”前面的 IF。此行说明:“如果
RADIUS 请求是 Wired_MAB,则允许使用默认网络协议。”例如:
IF
Wired_MAB
THEN
Allow the default protocols
ELSE
Move to next Line in Authentication Policy Table
步骤
2 在图 7 中,请注意黑色下拉三角形(其概览见图 7)。
步骤
3 点击下图标记出来的三角形。
图
7:添加身份验证策略
身份验证策略表中的各规则均含有第二部分。此行用于选择凭证库。默认情况下,会将
MAC 身份验证绕行的此预
配置规则配置为使用“内部端点”数据存储。内部端点数据存储是
ISE 内部已知设备的数据库。此数据库可以进行
手动填充或动态填充。
注:手动填充示例:管理员从
Cisco Unified Communications Manager 界面导出已知思科统一 IP 电话 MAC 地址列表,然后将该列表导入 ISE。
动态填充示例:
ISE 分析通过一个或多个分析探针发现此设备,然后在内部端点数据存储中创建此设备条目。
IF-THEN 语句显示如下:
IF
Wired_MAB
THEN
Allow the default protocols
AND
Check Credentials with the Internal Endpoints Data Store
ELSE
Move to next Line in Authentication Policy Table
注:
Wired_MAB 是预构建条件,用来匹配 RADIUS 属性:
service-type = call-check 和 nas-port-type = ethernet。