Cisco Cisco Identity Services Engine 1.3

For the newly created Cisco ISE machine
account that is used to communicate to
the Active Directory connection, the
following permissions are required:

• Ability to change own password

• Read the user/machine objects

corresponding to users/machines
being authenticated

• Query some parts of the Active

Directory to learn about required
information (for example, trusted
domains, alternative UPN suffixes
and so on.)

• Ability to read tokenGroups

attribute

You can precreate the machine account
in Active Directory, and if the SAM name
matches the Cisco ISE appliance
hostname, it should be located during the
join operation and re-used.

If multiple join operations are performed,
multiple machine accounts are maintained
inside Cisco ISE, one for each join.

For the account that is used to perform
the leave operation, the following
permissions are required:

• Search Active Directory (to see if

a Cisco ISE machine account
already exists)

• Remove Cisco ISE machine

account from domain

If you perform a force leave (leave
without the password), it will not remove
the machine account from the domain.

For the account that is used to perform
the join operation, the following
permissions are required:

• Search Active Directory (to see if

a Cisco ISE machine account
already exists)

• Create Cisco ISE machine account

to domain (if the machine account
does not already exist)

• Set attributes on the new machine

account (for example, Cisco ISE
machine account password, SPN,
dnsHostname)

It is not mandatory to be a domain
administrator to perform a join operation.

The credentials used for the join or leave operation are not stored in Cisco ISE. Only the newly created
Cisco ISE machine account credentials are stored.

—

No

DNS Servers/AD
Domain Controllers

Random number greater
than or equal to 49152

DNS (TCP/UDP)

—

Yes

Domain Controllers

445

MSRPC

MS AD/KDC

Yes (Kerberos)

Domain Controllers

88

Kerberos (TCP/UDP)