In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie die Client-Certificate-basierte Authentifizierung für den ISE-Managementzugriff (Identity Services Engine) konfiguriert wird. In diesem Beispiel authentifiziert sich der ISE-Administrator anhand des Benutzerzertifikats, um Administratorzugriff auf die Verwaltungs-GUI der Cisco Identity Services Engine (ISE) zu erhalten.
Cisco empfiehlt, die folgenden Themen zu kennen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn das Netzwerk in Betrieb ist, sollten Sie die potenziellen Auswirkungen einer Konfiguration verstehen.
In diesem Abschnitt können Sie das Client-Zertifikat oder die Smart Card als externe Identität für den Administratorzugriff auf die Cisco ISE-Verwaltungs-GUI konfigurieren.
Hinweis: Zur Aktivierung der zertifikatbasierten Authentifizierung ist eine kennwortbasierte Authentifizierungskonfiguration erforderlich. Diese Konfiguration sollte nach erfolgreicher Konfiguration der zertifikatbasierten Authentifizierung zurückgesetzt werden.
In diesem Beispiel wird die externe AD-Gruppe der standardmäßigen Admin-Gruppe zugeordnet.
Hinweis: Das gleiche Zertifikatauthentifizierungsprofil kann auch für die identitätsbasierte Endpunkt-Authentifizierung verwendet werden.
Überprüfen Sie den Zugriff auf die ISE-GUI, nachdem sich der Dienststatus des Anwendungsservers in Ausführung geändert hat.
Super Admin User (Super-Admin-Benutzer): Stellen Sie sicher, dass der Benutzer aufgefordert wird, ein Zertifikat für die Anmeldung bei der ISE-GUI auszuwählen, und dass er Super Admin-Berechtigungen erhält, wenn das Zertifikat ein Benutzer der Super Admin External Identity-Gruppe ist.
Schreibgeschützter Admin-Benutzer: Vergewissern Sie sich, dass der Benutzer aufgefordert wird, ein Zertifikat für die Anmeldung bei der ISE-GUI auszuwählen, und dass ihm Schreibschutzberechtigungen gewährt werden, wenn das Zertifikat einem Benutzer angehört, der zur Gruppe "Schreibgeschützt" der externen Administrator-Identität gehört.
Hinweis: Wenn eine Common Access Card (CAC) verwendet wird, legt Smartcard das Benutzerzertifikat der ISE vor, nachdem der Benutzer seinen gültigen Super-Pin eingegeben hat.