Informationen zu Cisco
Informationen zum Kauf

Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Vereinfachte Zugriffsrichtlinie mit ODBC & ISE DB (benutzerdefiniertes Attribut) für groß angelegtes Campus-Netzwerk

Download-Optionen

  • PDF     (3.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (3.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Februar 2021
Dokument-ID:216841

Vorurteilsfreie Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung vorurteilsfreier Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „vorurteilsfrei“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, Behinderung, Geschlecht, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument wird die Bereitstellung großer Campus-Umgebungen ohne Kompromisse bei den Funktionen und der Durchsetzung von Sicherheitsrichtlinien beschrieben. Die Cisco Identity Services Engine (ISE) erfüllt diese Anforderung durch die Integration in eine externe Identitätsquelle.

    Bei großen Netzwerken mit mehr als 50 Geo-Standorten, über 4.000 unterschiedlichen Benutzerprofilen und über 600.000 Endpunkten oder mehr müssen herkömmliche IBN-Lösungen aus einer anderen Perspektive betrachtet werden - mehr als nur Funktionen, unabhängig davon, ob sie mit allen Funktionen skaliert werden können. Die Intent-Based Network (IBN)-Lösung in herkömmlichen großen Netzwerken von heute erfordert einen zusätzlichen Fokus auf Skalierbarkeit und einfache Verwaltung und nicht nur auf die Funktionen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Dot1x/MAB-Authentifizierung
    • Cisco Identity Service Engine (Cisco ISE)
    • Cisco TrustSec (CTS)

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Identity Services Engine (ISE) Version 2.6 Patch 2 und Version 3.0
    • Windows Active Directory (AD) Server 2008, Version 2
    • Microsoft SQL Server 2012

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn das Netzwerk in Betrieb ist, sollten Sie die potenziellen Auswirkungen einer Konfiguration verstehen.

    Hintergrundinformationen

    In einer Identity Based Network (IBN)-Lösung sind die grundlegenden Elemente Supplicant, Authenticator und Authentication (AAA) Server. Der Supplicant ist ein Agent auf dem Endgerät, der die Anmeldeinformationen bei Aufforderung für den Netzwerkzugriff bereitstellt. Authenticator oder NAS (Network Access Server) ist der Access-Layer, der Netzwerk-Switches und WLCs umfasst, die die Anmeldeinformationen für den AAA-Server übertragen. Der Authentifizierungsserver validiert die Benutzerauthentifizierungsanfrage für einen ID-Speicher und autorisiert entweder mit access-accept oder access-Ablehnen. Der ID-Speicher kann sich im AAA-Server oder auf einem externen dedizierten Server befinden.

    Dieses Bild zeigt die grundlegenden IBN-Elemente.

    RADIUS ist ein User Datagram Protocol (UDP)-basiertes Protokoll mit kombinierter Authentifizierung und Autorisierung. In der Cisco IBN-Lösung für Campus-Enterprise-Umgebungen fungiert das Personal der ISE Policy Service Node (PSN) als AAA-Server, der die Endpunkte anhand des Enterprise ID Store authentifiziert und die Berechtigung in Abhängigkeit von der Bedingung erteilt.

    In der Cisco ISE werden Authentifizierungs- und Autorisierungsrichtlinien konfiguriert, um diese Anforderungen zu erfüllen. Authentifizierungsrichtlinien bestehen aus dem Medientyp (kabelgebunden oder drahtlos) und den EAP-Protokollen für die Benutzervalidierung. Autorisierungsrichtlinien bestehen aus Bedingungen, die die Kriterien definieren, nach denen die verschiedenen Endpunkte übereinstimmen, und aus denen der Netzwerkzugriff erfolgt. Dabei kann es sich um ein VLAN, eine herunterladbare ACL oder ein Secure Group Tag (SGT) handeln.  Dies sind die maximalen Skalierungszahlen für Richtlinien, mit denen die ISE konfiguriert werden kann.

    Diese Tabelle zeigt die Skalierung der Cisco ISE-Richtlinien.

    Attribut

    Skalierungsnummer

    Maximale Anzahl der Authentifizierungsregeln

    1000 (Policy Set Mode)

    Maximale Anzahl der Autorisierungsregeln

    3.000 (Policy Set Mode)

    mit 3200 Autz-Profilen

    Technologietrends

    Die Segmentierung ist zu einem der zentralen Sicherheitselemente für moderne Unternehmensnetzwerke geworden, ohne dass ein Edge-Netzwerk erforderlich ist. Die Endpunkte können zwischen internen und externen Netzwerken wechseln. Durch Segmentierung können Sicherheitsangriffe auf ein bestimmtes Segment im Netzwerk eingedämmt werden. Die heutige SDA-Lösung (Software-Defined Access) bietet mithilfe von Cisco ISE TrustSec eine Möglichkeit, die Segmentierung auf Grundlage des Geschäftsmodells des Kunden vorzunehmen, um Abhängigkeiten von Netzwerkelementen wie VLANs oder IP-Subnetzen zu vermeiden.

    Problem 

    Die ISE-Richtlinienkonfiguration für große Unternehmensnetzwerke mit mehr als 500 unterschiedlichen Endgeräteprofilen kann die Anzahl der Autorisierungsrichtlinien auf einen nicht zu verwaltenden Punkt erhöhen. Auch wenn die Cisco ISE dedizierte Autorisierungsbedingungen unterstützt, um einer solchen Anzahl von Benutzerprofilen gerecht zu werden, besteht die Herausforderung darin, diese zahlreichen Richtlinien durch Administratoren zu verwalten.

    Darüber hinaus können Kunden anstelle dedizierter Richtlinien gemeinsame Autorisierungsrichtlinien benötigen, um Verwaltungsaufwand zu vermeiden, und sie verfügen je nach ihren Kriterien über einen differenzierten Netzwerkzugriff für Endpunkte.

    Betrachten Sie beispielsweise ein Unternehmensnetzwerk mit Active Directory (AD) als Quelle der Wahrheit und das einzigartige Differenzierungsmerkmal des Endgeräts ist eines der Attribute in AD. In einem solchen Fall verfügt die traditionelle Methode der Richtlinienkonfiguration über mehr Autorisierungsrichtlinien für jedes eindeutige Endpunktprofil.

    Bei dieser Methode wird jedes Endpunktprofil mit einem AD-Attribut unter domain.com unterschieden. Daher muss eine dedizierte Autorisierungsrichtlinie konfiguriert werden.

    Diese Tabelle zeigt die traditionellen AuthZ-Richtlinien.

    ABC-Richtlinie

    Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH

    UND

    Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/ABC

    DANN

    SGT:C2S-ABC UND VLAN:1021

    DEF-Richtlinie

    Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH

    UND

    Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/DEF

    DANN

    SGT:C2S-DEF UND VLAN:1022

    GHI-Richtlinie

    Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH

    UND

    Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/GHI

    DANN

    SGT:C2S-GHI UND VLAN:1023

    XYZ-Richtlinie

    Wenn AnyConnect Benutzer-und-Maschine-beide-Passed ÄHNLICH

    UND

    Falls die AD-Gruppe die Anforderungen erfüllt: domain.com/groups/XYZ

    DANN

    SGT:C2S-XYZ UND VLAN:1024

    Vorgeschlagene Lösung

    Um die Verletzung der maximal skalierbaren Anzahl unterstützter Autorisierungsrichtlinien auf der Cisco ISE zu umgehen, wird eine externe DB vorgeschlagen, die jedem Endpunkt die Autorisierungsergebnisse zulässt, die aus seinen Attributen stammen. Wenn AD beispielsweise als externe DB für die Autorisierung verwendet wird, können alle nicht verwendeten Benutzerattribute (z. B. Abteilungscode oder Pin-Code) darauf verwiesen werden, autorisierte Ergebnisse zu liefern, die dem SGT oder VLAN zugeordnet sind.

    Dies wird durch die Integration der Cisco ISE mit einer externen DB oder in die interne DB der ISE erreicht, die mit benutzerdefinierten Attributen konfiguriert ist. In diesem Abschnitt wird die Bereitstellung dieser beiden Szenarien erläutert:

    Hinweis: In beiden Optionen enthält die DB die Benutzer-ID, jedoch nicht das Kennwort der DOT1X-Endpunkte. Die DB wird nur als Autorisierungspunkt verwendet. Die Authentifizierung kann weiterhin der ID-Speicher des Kunden sein, der sich in den meisten Fällen auf dem Active Directory (AD)-Server befindet.

    Konfiguration mit externer DB

    Die Cisco ISE ist in eine externe DB integriert, um die Endgeräteanmeldevalidierung zu ermöglichen:

    Diese Tabelle zeigt die validierten externen Identitätsquellen.

    Externe Identitätsquelle

    Betriebssystem/Version

    Active Directory

    Microsoft Windows Active Directory 2003

    Microsoft Windows Active Directory 2003 R2

    Microsoft Windows Active Directory 2008

    Microsoft Windows Active Directory 2008 R2

    Microsoft Windows Active Directory 2012

    Microsoft Windows Active Directory 2012 R2

    Microsoft Windows Active Directory 2016

    LDAP-Server

    SunONE LDAP-Verzeichnisserver

    Version 5.2

    OpenLDAP-Verzeichnisserver

    Version 2.4.23

    Jeder LDAP v3-kompatible Server

    Token-Server

    RSA-ACE/Server

    Serie 6.x

    RSA-Authentifizierungs-Manager

    Serie 7.x und 8.x

    Jeder RADIUS RFC 2865-konforme Tokenserver

    SAML (Security Assertion Markup Language) Single Sign-On (SSO)

    Microsoft Azure

    Oracle Access Manager (OAM)

    Version 11.1.2.2.0

    Oracle Identity Federation (OIF)

    Version 11.1.1.2.0

    PingFederate-Server

    Version 6.10.0.4

    PingOne Cloud

    Sichere Auth

    8.1.1

    Jeder SAMLv2-kompatible Identitätsanbieter

    Open Database Connectivity (ODBC) Identity Source

    Microsoft SQL Server (MS SQL)

    Microsoft SQL Server 2012

    Oracle

    Enterprise Edition 12.1.0.2.0

    PostgreSQL

    9

    Sybase

    16

    MySQL

    6.3

    Social Login (für Gastbenutzerkonten)

    Facebook

    ODBC-Beispielkonfigurationen

    Diese Konfiguration wird unter Microsoft SQL ausgeführt, um die Projektmappe zu erstellen:

    Schritt 1: Öffnen Sie SQL Server Management Studio (Startmenü > Microsoft SQL Server), um eine Datenbank zu erstellen:

    Schritt 2: Geben Sie einen Namen ein, und erstellen Sie die Datenbank.

    Schritt 3: Erstellen Sie eine neue Tabelle mit den erforderlichen Spalten als Parameter, damit Endpunkte autorisiert werden können.

    Schritt 4: Erstellen Sie eine Prozedur, um zu überprüfen, ob der Benutzername vorhanden ist.

    Schritt 5: Erstellen Sie eine Prozedur zum Abrufen von Attributen (SGT) aus der Tabelle.

    In diesem Dokument wird die Cisco ISE in die Microsoft SQL-Lösung integriert, um die Anforderungen an die Autorisierungsgröße in großen Unternehmensnetzwerken zu erfüllen.

    Solution Workflow (ISE 2.7 und frühere Version)

    Bei dieser Lösung ist die Cisco ISE in ein Active Directory (AD) und Microsoft SQL integriert. AD wird als Authentifizierungs-ID-Speicher und MS SQL zur Autorisierung verwendet. Während des Authentifizierungsprozesses leitet das Network Access Device (NAD) die Benutzeranmeldeinformationen an das PSN weiter - den AAA-Server in der IBN-Lösung. PSN validiert die Endpunktanmeldeinformationen mit dem Active Directory-ID-Speicher und authentifiziert den Benutzer. Die Autorisierungsrichtlinie bezieht sich auf die MS SQL DB, um autorisierte Ergebnisse wie SGT/VLAN abzurufen, für die Benutzer-ID als Referenz verwendet wird.

    Vorteile

    Diese Lösung bietet die folgenden Vorteile, die sie flexibel macht:

    • Die Cisco ISE kann alle möglichen zusätzlichen Funktionen der externen DB nutzen.
    • Diese Lösung ist nicht von Cisco ISE-Skalierungsbeschränkungen abhängig.

    Nachteile

    Diese Lösung hat folgende Nachteile:

    • Erfordert zusätzliche Programmierung, um die externe DB mit Endpunktanmeldeinformationen zu füllen.
    • Wenn die externe DB wie PSNs nicht lokal vorhanden ist, hängt diese Lösung vom WAN ab, was sie zum 3. Fehlerpunkt im Endpunkt-AAA-Datenfluss macht.
    • Erfordert zusätzliches Wissen, um externe DB-Prozesse und -Verfahren aufrechtzuerhalten.
    • Fehler, die durch die manuelle Konfiguration der Benutzer-ID zur DB verursacht werden, müssen berücksichtigt werden.

    Externe DB - Beispielkonfigurationen

    In diesem Dokument wird Microsoft SQL als externe DB angezeigt, die als Autorisierungspunkt verwendet wird.

    Schritt 1: Erstellen Sie ODBC Identity Store in Cisco ISE über das Menü Administration > External Identity Source > ODBC, und testen Sie die Verbindungen.

    Schritt 2: Navigieren Sie zur Registerkarte Gespeicherte Prozeduren auf der ODBC-Seite, um die erstellten Prozeduren in der Cisco ISE zu konfigurieren.

    Schritt 3: Abrufen der Attribute für die Benutzer-ID aus der ODBC-ID-Quelle zur Überprüfung.

    Schritt 4: Erstellen Sie ein Autorisierungsprofil, und konfigurieren Sie es. Gehen Sie in der Cisco ISE zu Richtlinien > Ergebnisse > Autorisierungsprofil > Erweiterte Attributeinstellungen, und wählen Sie das Attribut Cisco:cisco-av-pair aus. Wählen Sie die Werte <Name der ODBC-Datenbank>:sgt aus, und speichern Sie sie.

    Schritt 5: Erstellen Sie eine Autorisierungsrichtlinie und konfigurieren Sie sie. Navigieren Sie in der Cisco ISE zu Richtlinien > Richtlinien > Autorisierungsrichtlinie > Hinzufügen. Legen Sie die Bedingung als Identitätsquelle den SQL-Server fest. Wählen Sie das Ergebnisprofil als zuvor erstelltes Autorisierungsprofil aus.

    Schritt 6: Sobald der Benutzer authentifiziert und autorisiert ist, müssen die Protokolle den dem Benutzer zugewiesenen Platz zur Überprüfung enthalten.

    Solution-Workflow (nach ISE 2.7)

    Nach ISE 2.7 können Autorisierungsattribute von ODBC wie VLAN, SGT, ACL abgerufen werden. Diese Attribute können in Richtlinien verwendet werden.

    In dieser Lösung ist die Cisco ISE in Microsoft SQL integriert. MS SQL wird als ID-Speicher für die Authentifizierung und Autorisierung verwendet. Wenn die Anmeldeinformationen von Endpunkten an PSN übermittelt werden, werden die Anmeldeinformationen für die MS SQL DB validiert. Die Autorisierungsrichtlinie bezieht sich auf die MS SQL DB, um die autorisierten Ergebnisse abzurufen, z. B. SGT/VLAN, für die die Benutzer-ID als Referenz verwendet wird.

    Externe DB - Beispielkonfigurationen

    Befolgen Sie die Schritte in diesem Dokument, um MS SQL DB zusammen mit Benutzername, Kennwort, VLAN-ID und SGT zu erstellen.

    Schritt 1: Erstellen Sie über das Menü Administration > External Identity Source > ODBC einen ODBC Identity Store in der Cisco ISE, und testen Sie die Verbindungen.

    Schritt 2: Navigieren Sie zur Registerkarte Gespeicherte Prozeduren auf der ODBC-Seite, um die erstellten Prozeduren in der Cisco ISE zu konfigurieren.

    Schritt 3: Abrufen der Attribute für die Benutzer-ID aus der ODBC-ID-Quelle zur Überprüfung.

    Schritt 4: Erstellen Sie ein Autorisierungsprofil, und konfigurieren Sie es. Gehen Sie in der Cisco ISE zu Richtlinien > Ergebnisse > Autorisierungsprofil > Erweiterte Attributeinstellungen, und wählen Sie das Attribut Cisco:cisco-av-pair aus. Wählen Sie die Werte als <Name der ODBC-Datenbank>:sgt. Wählen Sie unter Allgemeine Aufgaben VLAN mit ID/Name als <Name der ODBC-Datenbank>:vlan aus, und speichern Sie es.

    Schritt 5: Erstellen Sie eine Autorisierungsrichtlinie und konfigurieren Sie sie. Navigieren Sie in der Cisco ISE zu Richtlinien > Richtlinien > Autorisierungsrichtlinie > Hinzufügen. Legen Sie die Bedingung als Identitätsquelle den SQL-Server fest. Wählen Sie das Ergebnisprofil als zuvor erstelltes Autorisierungsprofil aus.

    Interne DB verwenden

    Die Cisco ISE selbst verfügt über eine integrierte DB, mit der Benutzer-IDs für die Autorisierung verwendet werden können.

    Lösungs-Workflow

    Bei dieser Lösung wird die interne DB der Cisco ISE als Autorisierungspunkt verwendet, während Active Directory (AD) weiterhin die Authentifizierungsquelle ist. Die Benutzer-ID der Endgeräte ist in der Cisco ISE DB enthalten, zusammen mit benutzerdefinierten Attributen, die autorisierte Ergebnisse wie SGT oder VLAN zurückgeben. Wenn die Anmeldeinformationen von Endpunkten an PSN übermittelt werden, prüft es die Gültigkeit der Anmeldeinformationen der Endpunkte mit dem Active Directory-ID-Speicher und authentifiziert den Endpunkt. Die Autorisierungsrichtlinie verweist auf die ISE DB, um die autorisierten Ergebnisse abzurufen, z. B. SGT/VLAN, für die die Benutzer-ID als Referenz verwendet wird.

    Vorteile

    Diese Lösung bietet die folgenden Vorteile, die sie zu einer flexiblen Lösung machen:

    • Die Cisco ISE DB ist eine integrierte Lösung und verfügt daher im Gegensatz zur externen DB-Lösung über keinen Fehlerpunkt 3.
    • Da der Cisco ISE-Cluster die Echtzeit-Synchronisierung aller Personen sicherstellt, besteht keine WAN-Abhängigkeit, da das PSN über alle Benutzer-IDs und benutzerdefinierten Attribute verfügt, die vom PAN in Echtzeit übertragen werden.
    • Die Cisco ISE kann alle möglichen zusätzlichen Funktionen der externen DB nutzen.
    • Diese Lösung ist nicht von Cisco ISE-Skalierungsbeschränkungen abhängig.

    Nachteile

    Diese Lösung hat folgende Nachteile:

    • Die maximale Anzahl der Benutzer-IDs, die von der Cisco ISE DB zurückgehalten werden können, beträgt 300.000.
    • Fehler, die durch die manuelle Konfiguration der Benutzer-ID zur DB verursacht werden, müssen berücksichtigt werden.

    Interne DB-Beispielkonfigurationen

    VLAN und SGT können für jeden Benutzer im internen ID-Speicher mit einem benutzerdefinierten Benutzerattribut konfiguriert werden.

    Schritt 1: Erstellen Sie benutzerdefinierte Attribute für neue Benutzer, um den VLAN- und SGT-Wert der jeweiligen Benutzer darzustellen. Navigieren Sie zu Administration > Identity Management > Settings > User Custom Attributes. Erstellen Sie benutzerdefinierte neue Benutzerattribute, wie in dieser Tabelle gezeigt.

    Hier wird die ISE DB-Tabelle mit benutzerdefinierten Attributen angezeigt.

    Attributname

    Datentyp

    Parameter(Länge)

    Standardwert

    VLAN

    String

    100

    C2S (Standard-VLAN-Name)

    SGT

    String

    100

    cts:security-group-tag=0003-0 (Standard-SGT-Wert)
    • In diesem Szenario stellt der VLAN-Wert den VLAN-Namen und den sgt-Wert das cisco-av-pair-Attribut des SGT in Hex dar.

    Schritt 2: Erstellen Sie ein Autorisierungsprofil mit benutzerdefinierten Attributen, um die VLAN- und SGT-Werte der jeweiligen Benutzer implizieren zu können. Navigieren Sie zu Richtlinien > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile > Hinzufügen. Fügen Sie die unten genannten Attribute unter Erweiterte Attributeinstellungen hinzu.

    Diese Tabelle zeigt das AuthZ-Profil für internen Benutzer.

    Attribut

    Wert

    Cisco:cisco-av-pair

    Interner Benutzer:sgt

    Radius:Tunnel-Private-Group-ID

    Interner Benutzer:VLAN

    Radius:Tunnel-Medium-Type

    802

    Radius:Tunnel-Typ

    VLAN

    Wie im Bild gezeigt, wird für die internen Benutzer das Profil Internal_user mit dem SGT und dem VLAN konfiguriert, die als InternalUser:sgt und InternalUser:vlan konfiguriert sind.

    Schritt 3: Autorisierungsrichtlinie erstellen, wählen Sie Richtlinien > Richtliniensätze > Richtlinie-1 > Autorisierung aus. Erstellen Sie Autorisierungsrichtlinien mit den unten genannten Bedingungen, und ordnen Sie sie den jeweiligen Autorisierungsprofilen zu.

    Diese Tabelle zeigt die AuthZ-Richtlinie für interne Benutzer.

    Regelname

    Bedingung

    Autorisierungsprofil für Ergebnisse

    Internal_User_Authoriz

    If Network Access.EapChainingResults ÄQUALIFIZIERT Benutzer und Computer beide erfolgreich

    Interner Benutzer

    Machine_Only_Author

    Wenn MyAD.ExternalGroups gdc.security.com/Users/Domain Computer entspricht

    Zugriff zulassen

    Schritt 4: Erstellen Sie Bulk-Benutzeridentitäten mit benutzerdefinierten Attributen mit Benutzerdetails und den entsprechenden benutzerdefinierten Attributen in der CSV-Vorlage. Importieren Sie den CSV, indem Sie zu Administration > Identity Management > Identities > Users > Import > Choose the file > Import navigieren.

    Dieses Bild zeigt einen Beispielbenutzer mit benutzerdefinierten Attributdetails. Wählen Sie den Benutzer aus, und klicken Sie auf Bearbeiten, um die benutzerdefinierten Attributdetails anzuzeigen, die dem jeweiligen Benutzer zugeordnet sind.

    Schritt 5: Überprüfen Sie die Live-Protokolle:

    Überprüfen Sie im Abschnitt Ergebnis, ob das VLAN- und SGT-Attribut als Teil von Access-Accept gesendet wird.


    Fazit

    Diese Lösung ermöglicht es einigen Großkunden, ihre Anforderungen zu erfüllen. Beim Hinzufügen/Löschen von User-IDs ist Vorsicht geboten. Wenn Fehler ausgelöst werden, kann dies zu nicht autorisiertem Zugriff für echte Benutzer oder umgekehrt führen.

    Zugehörige Informationen

    Konfigurieren Sie die Cisco ISE mit MS SQL über ODBC:

    https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-21/200544-Configure-ISE-2-1-with-MS-SQL-using-ODBC.html

    Glossar

    AAA

    Authentifizierung, Autorisierung und Abrechnung

    AD

    Active Directory

    AuthC

    Authentifizierung

    AuthZ

    Autorisierung

    DB

    Datenbasis

    DOT1X

    802.1x

    IBN

    Identitätsbasiertes Netzwerk

    ID

    Identitätsdatenbank

    ISE

    Identity Services Engine

    MnT

    Überwachung und Fehlerbehebung

    MSSQL

    Microsoft SQL

    ODBC

    Offene DataBase-Konnektivität

    PAN

    Policy-Administrationsknoten

    PSN

    Knoten "Policy Services"

    SGT

    Sicherer Gruppen-Tag

    SQL

    Strukturierte Abfragesprache

    VLAN

    Virtuelles LAN

    WAN

    Wide Area Network

    Beigetragen von

    • Aravind Ravichandran
      Cisco Professional Services
    • Vinodh Venugopal
      Cisco Professional Services

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.