思科ISE1.3与ActiveDirectory的集成.pdf

思科 ISE 1.3 与 Active Directory 的集成 思科 ISE 1.3中的 Active Directory配置 4 思科 ISE 1.3中的 Active Directory主要功能 4 Active Directory与思科 ISE集成的必备条件 6 添加 Active Directory加入点并将思科 ISE节点加入到该加入点 8 退出 Active Directory域 9 配置身份验证域 10 支持的组类型 11 配置 Active Directory用户和机器属性 12 针对 Active Directory身份验证测试用户 13 对 Active Directory多加入配置的支持 13 只读域控制器 15 Active Directory支持的身份验证协议和功能 15 针对 Active Directory实例的授权 19 身份重写 20 身份解析设置 22 示例方案 23 故障排除工具 27 AD连接器内部操作 30 2 3 Revised: February 6, 2015, 思科 ISE 1.3 中的 Active Directory 配置 思科 ISE 1.3 中的 Active Directory 主要功能 以下是思科 ISE 1.3中 Active Directory的一些主要功能： 多加入支持 思科 ISE支持对 Active Directory域执行多个加入。思科 ISE最多支持 50个 Active Directory加入。思科 ISE能够连接没 有双向信任或者具有零信任的多个 Active Directory域。 Active Directory多域加入包括一组不同的 Active Directory域，对 每个加入有其自己的组、属性和授权策略。 身份验证域 思科 ISE在加入 Active Directory域时会自动发现加入点的受信任域。然而，并非所有域都可与思科 ISE相关以执行身份 验证和授权。思科 ISE允许您从受信任域中选择一部分来执行身份验证和授权。此部分域称为身份验证域。建议将您打 算执行身份验证的用户或机器所在的域定义为身份验证域。定义身份验证域可阻止其他域以限制在这些域上发生用户身 份验证，从而提高安全性。它还有助于优化性能，因为您可以跳过与策略和身份验证无关的域，并且帮助思科 ISE更高 效地执行身份有哪些信誉好的足球投注网站操作。 身份重写 此功能可让思科 ISE修改从客户端或证书接收的用户名，再将其发送给 Active Directory进行身份验证。例如，用户名 jdoe@可以重写为 jdoe@。使用此功能，您可以修复用户名或主机名，否则身份验证会失败。 您还可以重写证书和进程请求中的身份，这些进程请求是在未正确调配证书时出现的。相同的身份重写规则适用于传入 的用户名或机器名称，无论这些名称是来自不基于证书的身份验证还是来自证书内部。 模糊身份解析 如果思科 ISE接收的用户或机器名称模糊，即不是唯一的，则在用户尝试进行身份验证时会导致问题。如果用户没有域 标记，或者多个域中的多个身份有相同的用户名，就会发生身份冲突。例如，userA存在于 domain1上，另一个 userA存 在于 domain2上。您可以使用身份解析设置来定义此类用户解析的范围。思科强烈建议您使用限定名，例如 UPN或 NetBIOS。限定名可以降低模糊可能性，并减少延迟从而提高性能。 基于安全标识符的组成员身份评估 ISE使用安全标识符 (SID)来优化组成员身份评估。 SID的价值体现在两个方面：第一，评估组时可提升效率（速度）； 第二，在域关闭而用户为该域中的组成员时，灵活适应延迟情况。当删除组并创建同名的新组作为原始组时，必须更新 SID以将新 SID分配给新创建的组。 4 基于用户名的身份验证测试（测试用户） 测试身份验证可用于对最终用户的身份验证和授权问题进行故障排除。您可以使用测试用户功能测试 Active Directory身 份验证。测试会连同组和属性详细信息（授权信息）一起返回结果，可在管理门户上查看这些结果和信息。 诊断工具 诊断工具可用于自动测试和诊断 Active Directory部署的一般连接性问题。此工具提供以下内容的相关信息： ?测试运行所在的思科 ISE节点 ?与 Active Directory的连接 ?有关域的详细状态 ?有关思科 ISE-DNS服务器连接的详细状态 工具为您运行的每项测试提供详细的报告。 证书身份验证配置文件增强功能 思科 ISE 1.3在证书身份验证配置文件中引入了两项新的增强功能： ?Any subject or alternative name attributes in the certificate（证书中的任何主题或备选名称属