Cisco Cisco Identity Services Engine 1.0.4 设计指南

第

113 页

安全访问操作指南

步骤

2 授权策略还突出使用分析功能向使用个人设备（那些分类为 Apple-iPad 或 Android 的设备）进行连

接的员工唯一授予“仅互联网访问权限”，同时通过工作站连接的员工则获得完全访问权限（员工
权限）。

在授权策略中使用终端身份组

步骤

1 在本程序中，被分析为 APC UPS 设备的终端将根据 MAB 身份验证和授权策略规则与名称为 APC-

UPS 的身份组的匹配，获得特殊权限。

步骤

2 转至 Policy  Authorization 并在 Profiled Cisco IP Phones 规则下插入名称为 Profiled UPS Systems 的

新规则。

步骤

3 在身份组情况下，导航到 Endpoint Identity Groups  Profiled，选择 APC-UPS。

步骤

4 在 Permissions，选择 UPS 等相应的授权配置文件，然后点击 Save，提交更改。策略规则看起来应

类似于图

91。

图

89. 授权策略配置示例 1

步骤

5 通过断开并重新连接 UPS 设备连接，或只需通过在相应接口下发出 shut / no shut 命令重置连接的

交换端口，验证授权策略是否正常运行。

步骤

6 转至 Operations  Authentications，查看 Live Authentications 日志。所显示的条目应该类似于下

图

92 中所示的那些条目。

图

90. 授权策略配置示例 2

步骤

7 日志显示被分析为 APC-UPS 的两个终端正在使用名称 UPS 的授权配置文件进行身份验证和授权。

在本例中，在第一个终端获得授权后会向交换机发送可下载的

ACL (dACL)。第二个终端重新使用

已下载的

dACL，所以不会发送第二个 dACL。