Cisco Cisco Identity Services Engine 1.2 产品宣传页
Active Directory 基于密码的身份验证
密码身份验证协议 (PAP) 和 Microsoft 质询握手身份验证协议 (MS-CHAP) 是基于密码的协议。 MS-CHAP 凭证只能由
MS-RPC 进行身份验证。 思科 ISE 为 PAP 身份验证提供两个选项 - MS-RPC 和 Kerberos。 MS-RPC 和 Kerberos 都是同样
安全的选项。 用于 PAP 身份验证的 MS-RPC 是默认和建议选项,原因如下:
MS-RPC 进行身份验证。 思科 ISE 为 PAP 身份验证提供两个选项 - MS-RPC 和 Kerberos。 MS-RPC 和 Kerberos 都是同样
安全的选项。 用于 PAP 身份验证的 MS-RPC 是默认和建议选项,原因如下:
• 它提供与 MS-CHAP 的一致性
• 它提供更清楚的错误报告
• 它允许更有效地与 Active Directory 通信。 如果是 MS-RPC,思科 ISE 会将身份验证请求发送到仅来自加入域的域控
制器,并且该域控制器会处理请求。
如果是 Kerberos,思科 ISE 需要遵循从加入域到用户帐户域的 Kerberos 参照(即,思科 ISE 需要与信任路径上从加入域
到用户帐户域的所有域通信)。
到用户帐户域的所有域通信)。
思科 ISE 会检查用户名格式并调用域管理器来找到适当的连接。 找到帐户域的域控制器之后,思科 ISE 尝试根据它来对
用户进行身份验证。 如果密码匹配,则授予用户对网络的访问权限。
用户进行身份验证。 如果密码匹配,则授予用户对网络的访问权限。
基于密码的机器身份验证非常类似于基于用户的身份验证,不同之处在于机器名称采用主机/前缀格式。 思科 ISE 无法按
原样对此格式(是 DNS 命名空间)执行身份验证,在执行身份验证之前,该格式会转换成以 NetBIOS 为前缀的 SAM 格
式。
原样对此格式(是 DNS 命名空间)执行身份验证,在执行身份验证之前,该格式会转换成以 NetBIOS 为前缀的 SAM 格
式。
基于证书的身份验证的 Active Directory 证书检索
思科 ISE 支持使用 EAP-TLS 协议的用户和机器身份验证的证书检索。 Active Directory 中的用户或机器记录包括二进制数
据类型的证书属性。 此证书属性可以包含一个或多个证书。 思科 ISE 将此属性识别为 userCertificate,并且不允许为此属
性配置其他名称。 思科 ISE 检索此证书并使用它来执行二进制比较。
据类型的证书属性。 此证书属性可以包含一个或多个证书。 思科 ISE 将此属性识别为 userCertificate,并且不允许为此属
性配置其他名称。 思科 ISE 检索此证书并使用它来执行二进制比较。
证书身份验证配置文件可确定从中获取用户名的字段来在 Active Directory 中查找要用于检索证书的用户,例如,主题备
选名称 (SAN) 或公用名称。 在思科 ISE 检索证书后,它执行此证书与客户端证书的二进制比较。 当接收多个证书时,思
科 ISE 会进行比较来检查匹配的证书。 如果找到匹配项,会通过用户或机器身份验证。
选名称 (SAN) 或公用名称。 在思科 ISE 检索证书后,它执行此证书与客户端证书的二进制比较。 当接收多个证书时,思
科 ISE 会进行比较来检查匹配的证书。 如果找到匹配项,会通过用户或机器身份验证。
添加证书身份验证配置文件
如果要使用可扩展身份验证协议-传输层安全 (EAP-TLS) 基于证书的身份验证方法,您必须创建证书身份验证配置文件。
思科 ISE 并非通过传统的用户名和密码方法进行身份验证,而是对从客户端接收的证书与服务器中的证书进行比较,以验
证用户的真实性。
思科 ISE 并非通过传统的用户名和密码方法进行身份验证,而是对从客户端接收的证书与服务器中的证书进行比较,以验
证用户的真实性。
开始之前
您必须是超级管理员或系统管理员。
17