Cisco Cisco Identity Services Engine 1.3 전단

第

5 页

安全访问操作指南

4. 系统将按照企业 Active Directory 或其他企业身份库对该员工的凭证进行身份验证。

5. PSN 将向下发送生成证书签名请求 (CSR) 的 Apple Over-the-Air (OTA) 调配配置文件。

6. iPad 将 CSR 发送至充当注册机构的策略服务节点，此节点将此请求发送至 Active-Directory 证书颁发机构

(CA)。

7. Active Directory 证书颁发机构将颁发证书并将其发送回思科 ISE 策略服务节点。

8. 利用 OTA，思科 ISE PSN 向此 iPad 发送一个新配置文件，其中包含所颁发的嵌入了该 iPad 的 MAC 地址及
此员工

AD 用户名的证书，同时还将发送一个强制将 EAP-TLS 用于 802.1X 身份验证的 Wi-Fi 请求方配置文件。

9. iPad 即已配置为通过身份验证 EAP-TLS 与企业无线网络关联（以防双 SSID 员工需要手动连接至企业 SSID；
在单

SSIP 情况下，iPad 会自动通过 EAP-TLS 重新连接），并且思科 ISE 授权策略将使用证书中的属性强制实

施网络访问（例如，提供有限访问，因为这不属于企业资产）。

架构图

图

1. 架构图