Cisco Cisco Identity Services Engine 1.3 전단

第

7 页

安全访问操作指南

Active Directory 配置

思科

ISE 使用 Active Directory 连接器，因此 TrustSec 部署中的每个思科 ISE 节点都可以加入 AD 域

并访问

AD 资源，正如任何其他 Windows 域成员一样。这种场景在 Active Directory 与 TrustSec 安

全解决方案搭配使用时，能够大幅提高速度、易用性和灵活性。

ISE AD 集成支持多个 AD 域，只要

这些域之间已配置双向信任关系即可。如果要设法将

ISE 集成到不可能在域之间建立双向信任关系

的环境中，请参阅《

TrustSec 多 Active Directory 操作指南》。

思科最佳实践：

时间同步和域名系统 (DNS) 对与 Active Directory 集成具有重要作用。因此，请务必使用网络时间协议 (NTP) 并始终确保为所有

Active Directory 服务器正确配置 DNS 的反向 DNS 指针。

思科

ISE 配置和 Active Directory 集成

程序

1 加入域

分别将每个思科

ISE 节点加入域。以下是所有思科 ISE 节点与 Active Directory 之间必须开放的端口

的列表：

•

SMB (TCP/445)

•

KDC (TCP/88)

•

全局编录（TCP/3268 和 3289）

•

KPASS (TCP/464)

•

NTP (UDP/123)

•

LDAP（TCP 和 UDP/389）

•

LDAPS (TCP/636)

步骤

在思科

ISE GUI 中，选择 Administration  Identity Management  External Identity Sources 

Active Directory。

步骤

2 输入 AD Domain Name（在本示例中为 cts.local），然后点击 Save Configuration（图 4）。

图

4 AD 外部身份源：配置 AD 连接器