Cisco Cisco Identity Services Engine 1.3 产品宣传页
© 2015 思科系统公司
第
17 页
安全访问操作指南
创建身份验证策略
在我们的配置示例中,我们将创建执行以下操作的身份验证策略:
•
将所有 MAB 请求转发到内部终端数据库
•
将有线和无线 802.1x 请求转发到 AD
•
将所有未知请求转发到上一节中配置的 All_ID_Store 序列
配置身份验证策略
程序
1 检查默认 ISE 身份验证策略
步骤
1 导航至 Policy Authentication。
身份验证策略中有两条预配置规则以及一条默认规则。策略规则表与访问列表一样,从上向下进行
处理,采用第一条匹配的规则。
处理,采用第一条匹配的规则。
注:
页面顶部有 Policy Type 选项,可用于选择简单策略还是基于规则的策略。如果使用 Simple 选项,只能将所有身份验证请求都转发到一个身份源
或身份源序列。对于大多数部署而言,建议使用基于规则选项,以便将身份验证请求有效地路由到正确的身份源。
身份验证请求与规则行按照一定条件进行匹配。为详细说明,我们将具体介绍一下第一条
预配置规则
预配置规则
MAB,这是交换机中用于 MAC 身份验证绕行的规则。
思科
ISE 策略采用逻辑 IF-THEN 格式。请注意显示为 Wired_MAB 的“选择器”前面的 IF。
此行说明:“如果
RADIUS 请求是 Wired_MAB,则允许使用默认网络协议。”
IF
Wired_MAB
THEN
Allow the default protocols
ELSE
Move to next Line in Authentication Policy Table
图
19 身份验证策略