Cisco Cisco Identity Services Engine 1.2 产品宣传页

 

 
 

© 2015 思科系统公司 

第

 14 页  

安全访问操作指南

图

 16 LDAP 外部身份源：搜索组 

 

步骤

 17 点击

 Save。 

 

内部数据库

/证书授权配置文件 (CAP)/RADIUS 令牌/RADIUS 代理 

除

 AD 和 LDAP 外，思科 ISE 还支持内部数据库、证书、将 RADIUS 令牌服务器用作 OTP 服务器，

以及通过本地集成将

 RSA SecurID 令牌服务器用于身份验证。ISE 提供三种类型的内部数据库：用

户、终端和访客。用户和访客身份数据库通常在使用

 802.1x 或 Web 身份验证进行身份验证时用于

终端身份验证。终端身份数据库则用于根据自动分析、设备注册以及手动创建的

 MAC 地址白名单或

黑名单对终端进行分类。终端身份源可用于对终端进行简单的

 MAB 身份验证，也可在授权过程中与

其他条件搭配用于企业

 BYOD 策略。 

注：只有在登录发起人门户页面后，访客身份数据库才可见。

 

证书身份验证配置文件

 (CAP) 可用于对以数字证书标识自己身份的终端进行身份验证。在要求使用

数字证书进行相互身份验证的环境中，就会使用此方法。你可以选择使用哪一个

 X.509 字段作为终

端身份，例如

 CN= 字段的主题或 SAN 的邮箱地址。 

如果要与一次性密码

 (OTP) 服务器集成，思科 ISE 支持 RADIUS 令牌服务器和本地 SecurID 集成。

当

 OTP 服务器在本地运行 RADIUS 并且 ISE 将 RADIUS 请求转发到 OTP RADIUS 服务器时，使用 

RADIUS 令牌服务器。如果思科 ISE 在本地终止 RADIUS 并通过安全设备调配 (SDP) 功能将 OTP 请
求转发到

 SecurID 服务器，则使用 SecurID。 

CAP 和 OTP 的配置不属于本文档的讨论范围。有关详细信息，请参阅 ESS 1.1 用户手册文档。