配置在ISE的每用户动态访问控制控制目录
目录
简介
本文描述配置一每用户动态访问控制表(dACL)用户的当前在内部标识存储或外部标识存储。
先决条件
要求
思科建议您有策略配置知识在身份服务引擎(ISE)的。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 身份服务引擎版本2.2
- Microsoft Windows活动目录2012 R2
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请保证您了解所有命令潜在影响。
配置
使用一个自定义用户属性,每用户dACL可以为所有用户配置在内部存储。对于激活目录(AD)的一个用户,类型字符串所有属性可以用于达到同样。此部分提供需的信息给已配置的与在此功能的ISE要求的配置一起配置属性在ISE和AD能工作。
配置在ISE的新的自定义用户属性
导航对Administration >身份管理>设置>用户自定义属性。 如镜像所显示,单击绿色+按钮,添加新团体并且保存更改。在本例中,自定义属性的名称是ACL。
配置dACL
为了配置可下载的ACLs,请导航对策略>Policy元素>结果>授权>可下载的ACLs。单击 Add。提供一名称, dACL的内容并且保存更改。如镜像所显示, dACL的名称是NotMuchAccess。
配置与自定义属性的内部用户用户帐号
导航对Administration >身份管理>标识>Add。 创建用户并且配置与用户需要获得,当授权dACL的名称的自定义属性值。在本例中, dACL的名称是NotMuchAccess。
配置AD用户帐户
在活动目录,请导航对用户帐户属性然后到属性编辑器。如镜像所显示, aCSPolicyName是用于的属性指定dACL名称。然而,如前面提到,能接收字符串值的所有属性可以使用。
导入属性从AD到ISE
使用在AD配置的属性, ISE需要导入它。为了导入属性,请导航对Administration >身份管理>外部标识来源>活动目录> [Join point configured] >属性。 单击添加然后选择属性从目录。 提供用户帐户名字在AD然后单击获取属性。 选择为dACL配置的属性,点击OK键和然后单击“Save”。如镜像所显示, aCSPolicyName是属性。
配置内部和外部用户的授权配置文件
为了配置授权配置文件,请导航对策略>Policy元素>结果>授权>授权配置文件。单击 Add。提供一名称并且选择dACL名称作为IntenalUser :自定义属性created> <name内部用户的。如镜像所显示,内部用户的,配置文件InternalUserAttributeTest配置与作为InternalUser配置的dACL :ACL.
对于外部用户,请使用<Join点name> :在AD>配置的<attribute作为dACL名称。在本例中,配置文件ExternalUserAttributeTest配置与作为TEST配置的dACL :aCSPolicyName TEST是加入点名称的地方。
配置授权策略
授权策略可以配置在根据用户名>授权根据中外部用户是存在AD的组在并且的策略在内部标识存储。在本例中, testuserexternal是用户当前在组gce.iselab.local /Builtin/Users中,并且testuserinternal是用户当前在内部标识存储。
验证
如果配置工作,请使用此部分验证。
检查livelogs验证用户认证。
点击在suceesful用户认证的放大镜图标验证,如果点击在报告的概述部分的正确策略。
如果用户属性获取,请检查livelogs的另一属性选项验证。
如果dACL属性发送作为Access-Accept的部分,请检查结果部分验证。
如果dACL在用户认证以后,下载请检查Livelogs验证。
点击在suceesful dACL下载日志的放大镜图标并且验证概述部分确认dACL下载。
检查报告的结果部分验证dACL的内容。
故障排除
目前没有针对此配置的故障排除信息。
反馈