Cisco Cisco Identity Services Engine 1.2 操作指南

安全访问操作指南

组件

表

2：本文档中使用的组件

组件

硬件

经过测试的功能

Cisco IOS

软件版本

思科身份服务引擎

(ISE)

任意：

1121/3315、

3355、3395、VMWare

集成

AAA、策略服务器和服务

（访客、分析器和安全状况）

ISE 1.1.1

无线

LAN 控制器

(WLC)

5500 系列

2500 系列

WLSM-2

分析和授权更改

(CoA)

统一无线

7.2.???

Apple iOS 和

Google Android

Apple 和 Google

N/A

Apple iOS 5.0

Google Android 2.3

注：仅使用集中交换模式对无线进行了测试。

Cisco ISE 配置

在本节中，我们将完成实施操作指南中所述的使用案例所需的步骤。这将包括基本配置，例如创建高级配置的用户组、
为

PEAP-MSCHAPv2 创建请求方配置文件，以及相应地创建身份验证和授权策略。

识别

BYOD 流程用户

在用户自注册过程中（“自注册”一词是指注册资产并将该资产请求方调配为能够访问企业网络的过程），我们可以选
择身份库来定义要转发到自注册

(BYOD) 流程的资源。以下示例展示的是身份源序列包含的思科身份服务引擎以及

Active Directory 中的本地库内定义的用户。

作为最佳实践自注册程序的一部分，我们将使用

Active Directory 作为身份源来确定允许自注册其设备的用户组。以下程

序展示的是身份源序列包含的

Cisco ISE 本地用户数据库以及 Active Directory 中定义的用户。

用户组是单个用户或终端的集合，这些用户或终端共享一组允许其访问特定

Cisco ISE 服务和功能集的权限。例如，如果

您属于

Change User Password 管理员组，则可以为其他用户更改管理密码。

第

6 页