Cisco Cisco Identity Services Engine 1.0.4 产品宣传页
© 2015 思科系统公司
第
31 页
安全访问操作指南
步骤
3 如下所述,完成新的 dACL。
Name = AD-Machine-ACL
Description = dACL used to permit Windows to communicate to AD for Machine Auth
DACL Content =
permit udp any eq bootpc any eq bootps !DHCP
permit udp any any eq domain !DNS
permit icmp any any !ICMP Ping
permit tcp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 88 !Kerberos
permit udp any host 10.1.100.10 eq 123 !NTP
permit tcp any host 10.1.100.10 eq 135 !RPC
permit udp any host 10.1.100.10 eq 137 !NetBIOS-Nameservice
permit tcp any host 10.1.100.10 eq 139 !NetBIOS-SSN
permit tcp any host 10.1.100.10 eq 389 !LDAP
permit udp any host 10.1.100.10 eq 389 !LDAP
permit tcp any host 10.1.100.10 eq 445 !MS-DC/SMB
permit tcp any host 10.1.100.10 eq 636 !LDAP w/ SSL
permit udp any host 10.1.100.10 eq 636 !LDAP w/ SSL
permit tcp any host 10.1.100.10 eq 1025 !non-standard RPC
permit tcp any host 10.1.100.10 eq 1026 !non-standard RPC
步骤
4
在
WLC 上创建与此相同的 ACL。
步骤
5
导航至
Policy Policy Elements Results Authorization Authorization Profiles。
步骤
6
点击
AD_Machine_Access。
步骤
7
如下修改授权配置文件:
Name = AD_Machine_Access
Description = Authorization Profile for Windows Machine Auth
Access-Type = ACCESS_ACCEPT
-- Common Tasks
DACL Name = AD-Machine-ACL
Airespace ACL Name = AD-Machine-ACL
为每个主要角色创建其他授权策略规则
为每个需要不同授权的角色重复此程序。在本文中,我们将讲解如何创建
HR 授权策略规则,并显
示包括所有已定义授权策略规则的最终屏幕。
步骤
1
导航至
Policy Authorization。
步骤
2
在“白名单”规则下面插入一个新的策略规则。
步骤
3
将该规则命名为
HR-Rule。
步骤
4
将
Identity Group 留为 Any。
步骤
5
在
Other Conditions 中,选择 AD1:External Groups Equals HR。
步骤
6
在权限方面,选择
Standard HR-Profile。
步骤
7
点击
Save。
步骤
8
对每个不同的角色类型重复整个程序。