Cisco Cisco Identity Services Engine 1.0.4 设计指南
© 2015 思科系统公司
第
113 页
安全访问操作指南
步骤
2 授权策略还突出使用分析功能向使用个人设备(那些分类为 Apple-iPad 或 Android 的设备)进行连
接的员工唯一授予“仅互联网访问权限”,同时通过工作站连接的员工则获得完全访问权限(员工
权限)。
权限)。
在授权策略中使用终端身份组
步骤
1 在本程序中,被分析为 APC UPS 设备的终端将根据 MAB 身份验证和授权策略规则与名称为 APC-
UPS 的身份组的匹配,获得特殊权限。
步骤
2 转至 Policy Authorization 并在 Profiled Cisco IP Phones 规则下插入名称为 Profiled UPS Systems 的
新规则。
步骤
3 在身份组情况下,导航到 Endpoint Identity Groups Profiled,选择 APC-UPS。
步骤
4 在 Permissions,选择 UPS 等相应的授权配置文件,然后点击 Save,提交更改。策略规则看起来应
类似于图
91。
图
89. 授权策略配置示例 1
步骤
5 通过断开并重新连接 UPS 设备连接,或只需通过在相应接口下发出 shut / no shut 命令重置连接的
交换端口,验证授权策略是否正常运行。
步骤
6 转至 Operations Authentications,查看 Live Authentications 日志。所显示的条目应该类似于下
图
92 中所示的那些条目。
图
90. 授权策略配置示例 2
步骤
7 日志显示被分析为 APC-UPS 的两个终端正在使用名称 UPS 的授权配置文件进行身份验证和授权。
在本例中,在第一个终端获得授权后会向交换机发送可下载的
ACL (dACL)。第二个终端重新使用
已下载的
dACL,所以不会发送第二个 dACL。