Cisco Cisco Identity Services Engine 1.2 操作指南
安全访问操作指南
6. 设备 MAC 地址已预先填入 DeviceID 的设备注册门户,并且员工可以输入可选描述,然后接受可接受的用户策
略(如需要)。
7. 员工选择接受并开始下载和安装请求方调配向导。
8. 通过使用 OTA,Cisco ISE 策略服务节点向 iPad 发送新的配置文件,包括颁发的证书(如果已配置),其中嵌入
8. 通过使用 OTA,Cisco ISE 策略服务节点向 iPad 发送新的配置文件,包括颁发的证书(如果已配置),其中嵌入
iPad 的 MAC 地址和员工的 AD 用户名,以及强制使用 MSCHAPv2 或 EAP-TLS 进行 802.1X 身份验证的 Wi-Fi
请求方配置文件。
请求方配置文件。
9. 现在,iPad 配置为使用 MSCHAPv2 或 EAP-TLS 进行身份验证与企业无线网络进行关联(如果采用双 SSID,则
员工必须手动连接到企业
SSID,而在采用单 SSID 的情况下,iPAD 会使用 EAP-TLS 自动重新连接),并且
Cisco ISE 授权策略将使用证书中的属性实施网络访问控制(例如,提供有限访问权限,因为这并非企业资产)。
10. Cisco ISE 发起授权变更 (CoA),员工与企业 SSID (BYOD-Dot1x) 重新关联,并且通过 MSCHAPv2 或 EAP-TLS
(为该请求方配置的身份验证方法)进行身份验证。
架构
/图
图
1. 网络图
© 2015 思科系统公司
第
5 页