Cisco Cisco Identity Services Engine 1.2 产品宣传页

 

 
 

© 2015 思科系统公司 

第

 10 页  

安全访问操作指南

有多种方法可用于完成计算机身份验证；例如使用证书和可扩展身份验证协议传输层安全

 (EAP-T 

LS)。但是，当使用不基于 EAP 的方法时，比如受保护的可扩展身份验证协议 (PEAP) 及 Microsoft 
质询握手身份验证协议版本

 2 (PEAP-MSCHAPv2)，Windows Supplicants 请求方能够将计算机名称作

为凭证发送。可对思科

 ISE 进行配置，以确认该计算机是否存在于 Active Directory 中，如果存在，

即提供连接。

 

因为这是在部署的监控模式阶段，我们将配置授权规则，允许完全访问计算机。

 

注：当用户登录时已通过计算机身份验证的

 Windows 终端时，请求方将通过局域网 (EAPoL) 启动消息向交换

机端口发送

 EAP，以重新开始新的身份验证。在新的身份验证完成后，如果需要，将向交换机端口发送新的

身份验证结果，以更新授权配置文件。

 

为域计算机创建授权配置文件

步骤

 1 

导航至

 Policy  Policy Elements  Results。 

 

图

 12.  为域计算机添加授权配置文件 

 

步骤

 2 

点击

 Add。 

步骤

 3 

配置新的授权配置文件。

 

Name = AD_Machine_Access 
Description = Authorization Profile for Windows Machine Auth 
Access-Type = ACCESS_ACCEPT 
-- Common Tasks 
 

DACL Name = PERMIT_ALL_TRAFFIC 

 

Airespace ACL Name = PERMIT_ALL_TRAFFIC 

步骤

 4 

滚动至底部，点击

 Submit。