Cisco Cisco Identity Services Engine 1.2 产品宣传页
• Reject the request(拒绝请求)- 此选项将使没有任何域标记的用户(例如 SAM 名称)的身份验证失败。
如果有多个加入域,而思科 ISE 必须在所有加入的全局目录中查找身份(这可能不安全),则此选项非常
有用。 此选项强制用户使用具有域标记的名称。
有用。 此选项强制用户使用具有域标记的名称。
• Only search in the “Authentication Domains” from the joined forest(只在来自加入林的“身份验证域”
中搜索)- 此选项只在加入点所在林的域(这些域在身份验证域部分中指定)中搜索身份。 对于 SAM 帐户
名称,这是默认选项,且与思科 ISE 1.2 的行为相同。
名称,这是默认选项,且与思科 ISE 1.2 的行为相同。
• Search in all the “Authentication Domains” sections(在所有“身份验证域”部分中搜索)- 此选项在所
有受信任林的所有身份验证域中搜索身份。 这可能会增加延迟并影响性能。
根据身份验证域在思科 ISE 中的配置方式来选择选项。 如果只选择特定身份验证域,将只搜索这些域(无论是
选择“加入的林”还是“所有林”)。
选择“加入的林”还是“所有林”)。
如果思科 ISE 无法与它所需的所有全局目录 (GC) 通信,则使用第二个设置,以符合在“身份验证域”部分中指
定的配置。 在这种情况下,您可以选择以下任何选项:
定的配置。 在这种情况下,您可以选择以下任何选项:
• Proceed with available domains(继续使用可用的域)- 如果在任何可用的域中找到匹配项,此选项将继续
执行身份验证。
• Drop the request(删除请求)- 如果身份解析遇到无法访问或不可用的域,此选项将删除身份验证请求。
示例方案
本节介绍一些与思科 ISE 的 Active Directory 配置流程相关的基本方案。
企业收购
方案
企业 abc.com 已收购或合并企业 xyz.com。 作为 abc.com 的管理员,您希望统一网络身份验证基础设施,让 abc.com 和
xyz.com 的用户都能访问相同的物理网络。
xyz.com 的用户都能访问相同的物理网络。
需要的配置
已配置 abc.com 的单一 Active Directory 加入点。 添加额外的不受信任 Active Directory 基础设施:
1
进入范围模式以添加 Initial_Scope。
23