Cisco Cisco Identity Services Engine 1.2 产品宣传页
• 站点关联错误或丢失,或者站点无法使用。
• DNS 配置存在错误或无法编辑。
DC 故障切换
以下条件可触发域控制器 (DC) 故障切换:
• AD 连接器检测当前选定的 DC 在 LDAP、RPC 或 Kerberos 通信尝试期间是否变为不可用。 DC 可能由于关闭或没有
网络连接而不可用。 在这种情况下,AD 连接器启动 DC 选择并故障切换到新选择的 DC。
• DC 启动并响应 CLDAP ping,但由于某种原因,例如 RPC 端口被阻止、DC 处于中断复制状态或 DC 尚未正确停用,
AD 连接器无法与之通信。 在这种情况下,AD 连接器会使用黑名单启动 DC 选择(“错误”DC 放置在黑名单中)
并尝试与所选 DC 通信。 使用黑名单选择的 DC 与黑名单都不会缓存。
并尝试与所选 DC 通信。 使用黑名单选择的 DC 与黑名单都不会缓存。
DNS 故障切换
您可以配置最多三个 DNS 服务器和一个域后缀。 如果您在思科 ISE 中使用 Active Directory 身份库序列,必须确保所有
DNS 服务器可对您要使用的任何 Active Directory DNS 域回答正向和反向 DNS 查询。 仅当第一个 DNS 关闭时,才会发生
DNS 服务器可对您要使用的任何 Active Directory DNS 域回答正向和反向 DNS 查询。 仅当第一个 DNS 关闭时,才会发生
DNS 故障切换,且故障切换 DNS 应具有与第一个 DNS 相同的记录器。 如果 DNS 服务器无法解析查询,DNS 客户端不
会尝试其他 DNS 服务器。 默认情况下,DNS 服务器会重试查询两次,且 3 秒后查询超时。
会尝试其他 DNS 服务器。 默认情况下,DNS 服务器会重试查询两次,且 3 秒后查询超时。
解析身份算法
对于身份,将根据身份类型、是否提供密码以及身份中是否存在域标记,使用不同算法来找到用户或机器对象。 以下是
思科 ISE 用来解析不同类型身份的不同算法。
思科 ISE 用来解析不同类型身份的不同算法。
如果已根据所配置的身份重写规则重写身份,则身份解析会应用到已重写的身份。
注释
解析 SAM 名称
• 如果身份为 SAM 名称(没有任何域标记的用户名或机器名称),思科 ISE 会搜索每个加入点的林(执行一次)以查
找身份。 如果有唯一匹配项,思科 ISE 会确定其域或唯一名称,并继续执行 AAA 流程。
• 如果 SAM 名称不是唯一的,并且思科 ISE 配置为使用无密码协议(如 EAP-TLS),则没有其他条件可用来找到正
确的用户,因此,思科 ISE 会由于“模糊身份”错误而无法执行身份验证。 但是,如果用户证书存在于 ActiveDirectory
中,思科 ISE 会使用二进制比较来解析身份。
中,思科 ISE 会使用二进制比较来解析身份。
• 如果思科 ISE 配置为使用基于密码的协议(如 PAP 或 MSCHAP),则思科 ISE 会继续检查密码。 如果有唯一匹配
项,思科 ISE 会继续执行 AAA 流程。 但是,如果有多个帐户使用相同密码,则思科 ISE 会由于“模糊身份”错误
而无法执行身份验证。
而无法执行身份验证。
应避免用户名冲突。 这不仅会提高效率和安全性,还可防止帐户被锁定。 例如,存在两个使用不同密码的“chris”,而
思科 ISE 仅接收 SAM 名称“chris”。 在此方案中,思科 ISE 会持续使用 SAM 名称“chris”尝试这两个帐户,再决定哪
个是正确的帐户。 在这种情况下,Active Directory 会因为不正确的密码尝试而锁定其中一个帐户。 因此,应尝试使用唯
思科 ISE 仅接收 SAM 名称“chris”。 在此方案中,思科 ISE 会持续使用 SAM 名称“chris”尝试这两个帐户,再决定哪
个是正确的帐户。 在这种情况下,Active Directory 会因为不正确的密码尝试而锁定其中一个帐户。 因此,应尝试使用唯
31