Cisco Cisco Identity Services Engine 1.2 产品宣传页

当您执行思科 ISE 的全新安装时，默认情况下范围不存在。 这称为无范围模式。 当您添加范围时，思科 ISE 进入多
范围模式。 如果需要，您可以返回到无范围模式。 所有加入点将移动到 Active Directory 文件夹。

• Initial_Scope 是隐式范围，用于存储在无范围模式中添加的 Active Directory 加入点。 当启用多范围模式时，所

有 Active Directory 加入点会移至自动创建的 Initial_Scope 中。 您可以重命名 Initial_Scope。

• All_AD_Instances 是内置的伪范围，不会显示在 Active Directory 配置中。 它只会在策略和身份序列中显示为身

份验证结果。 如果要选择在思科 ISE 中配置的所有 Active Directory 加入点，可以选择此范围。

身份源序列和身份验证策略中的范围和加入点

思科 ISE 允许您定义多个 Active Directory 加入点，其中每个加入点表示与不同 Active Directory 域的连接。 每个加入点可
作为单独的身份库，用于身份验证和授权策略以及身份序列中。 加入点可以组合为一个范围，您可以将范围作为身份验
证结果用于身份验证策略以及身份源序列中。

当您要将每个加入点视为完全独立的策略组时，可以选择各个加入点作为身份验证策略或身份源序列的结果。 例如，在
多租户方案中，如果思科 ISE 部署支持含有其自己网络设备的独立组，则网络设备组可以用于选择 Active Directory 域。

但是，如果 Active Directory 域被视为同一企业的一部分，并且域之间没有任何信任，则可以使用范围来加入多个断开的
Active Directory 域，并创建公用身份验证策略。 这样，就无需在身份验证策略中定义不同身份库所代表的每个加入点，
也无需为每个域提供重复的规则。 所用的实际加入点包含在身份验证身份库中，用于授权策略。

当多个域中有多个身份且用户名相同时，会出现身份模糊。 例如，如果没有任何域标记的用户名不是唯一的，并且思科

ISE 配置为使用无密码协议（例如 EAP-TLS），则没有其他条件可用来找到正确的用户，因此，思科 ISE 会由于模糊身份
错误而无法执行身份验证。 如果您遇到此类模糊的身份，可以使用身份验证策略规则中的特定范围或加入点，或使用身
份源序列。 例如，您可以引导特定网络设备组的用户使用特定 Active Directory 范围甚至单一加入点，以限制搜索范围。
同样，您可以创建如下规则：如果身份以 @some.domain 结尾，则使用特定的 Active Directory 加入点。 这有助于将身份
验证指向正确的加入点。

创建新范围以添加 Active Directory 加入点

过程

步骤 1

选择 Administration（管理） > Identity Management（身份管理） > External Identity Sources（外部身份源）
> Active Directory。

步骤 2

点击 Scope Mode（范围模式）。
将创建名为 Initial_Scope 的默认范围，并将当前所有加入点都放在此范围中。

步骤 3

要创建更多范围，请点击 Add（添加）。

步骤 4

输入新范围的名称和说明。

步骤 5

点击 Submit（提交）。