Cisco Cisco Identity Services Engine 1.3 전단

第

4 页

安全访问操作指南

添加身份库和创建身份验证策略

概述

思科

身份服务引擎 (ISE) 可提供内部数据库，对用户和终端进行身份验证。通常，内部数据库用于

以下两种情况：通过

Web 身份验证对访客用户进行身份验证，或通过 MAC 身份验证绕行 (MAB) 对终

端进行身份验证。不过，思科

ISE 也可通过集成外部身份源对用户或终端凭证进行验证，并检索与用

户或设备相关联的安全组成员和其他属性，以便用于授权策略。外部身份源不仅可用于进行

802.1x/MAB/Web 身份验证的用户和终端的身份验证与授权，也可用于 ISE 管理员和访客发起人的
身份验证与授权。身份验证过程通过将终端或用户的凭证转发到正确的身份源来验证其有效性。为
此，思科

ISE 会处理来自网络接入设备 (NAD) 的 RADIUS 请求，在身份数据库中查询凭证，然后将请

求转发到授权策略进行进一步处理，进而为用户和终端分配不同的权限。这样，

ISE 就可以使用不同

的身份数据库处理不同的身份请求。

当

NAD 向思科 ISE 发送身份验证请求时，该请求将作为 RADIUS 请求发送（NAD 可能包括 VPN 集

中器、无线局域网控制器和局域网交换机）。

RADIUS 请求包含多个属性，其中包括用户名/密码、

服务类型和类属性等。身份验证策略将传入的

RADIUS 请求与配置的身份验证条件进行比较，使用

协议允许的过滤器过滤出协议和可扩展身份验证协议

(EAP) 类型，选择分配的身份库，并处理身份

库发送回来的响应。然后，交给授权

(AuthZ) 策略接管。

例如，当终端通过受保护的可扩展身份验证协议

(PEAP) 与 Microsoft 质询握手身份验证协议版本 2

(PEAP-MSCHAPv2) 进行身份验证时，ISE 身份验证策略可使用身份验证条件将请求定向到 Active
Directory (AD) 身份源。但是，如果 ISE 接收的是 MAB 请求，则可以将请求定向到内部终端数据库。
另一种场景是将

VPN 请求转发到一次性密码 (OTP) 服务器进行身份验证，而将 WLAN 和 LAN

802.1X 请求转发到 AD 进行身份验证。

注：为便于阅读和区分术语，我们通常将身份验证策略称为

AuthC 策略，将授权策略称为 AuthZ 策略。

ISE 图形用户界面逻辑可帮助区分 AuthC 策略和 AuthZ 策略（图 3）。AuthC 策略会根据传入的身份
验证请求决定要查询的身份库。例如，来自

VPN 网关的身份验证请求可能会配置为通过检查 OTP 服

务器对凭证进行验证。同时，如果使用相同的

ISE 安装，来自思科无线局域网控制器 (WLC) 的身份验

证请求则会使用

Active Directory 验证凭证。ISE 能够提供非常强大灵活的身份验证策略功能。