在ISE中配置每用户动态访问控制列表

下载选项

PDF (1.0 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.0 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2021 年 1 月 17 日

文档 ID:212419

关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍为ISE内部身份库或外部身份库中的用户配置每用户动态访问控制列表(dACL)。

先决条件

要求

思科建议您了解身份服务引擎(ISE)上的策略配置。

使用的组件

本文档中的信息基于以下软件和硬件版本：

身份服务引擎3.0
Microsoft Windows Active Directory 2016

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

可以使用自定义用户属性为内部存储中的任何用户配置每用户dACL。对于Active Directory(AD)中的用户，任何类型字符串的属性都可用于实现相同的目标。本部分提供配置ISE和AD上的属性所需的信息以及ISE上使用此功能所需的配置。

在ISE上配置新的自定义用户属性

导航至管理>身份管理>设置>用户自定义属性。单击+按钮（如图所示）以添加新属性并保存更改。在本例中，自定义属性的名称是ACL。

配置dACL

要配置可下载的ACL，请导航至Policy > Policy Elements > Results > Authorization > Downloadable ACLs。单击 Add。提供dACL的名称、内容并保存更改。如图所示，dACL的名称为NotMochAccess。

使用自定义属性配置内部用户帐户

导航至管理>身份管理>身份>用户>添加。创建用户，并使用用户授权时需要获取的dACL的名称配置自定义属性值。在本例中，dACL的名称为NotMochAccess。

配置AD用户帐户

在Active Directory上，导航至用户帐户属性，然后导航至属性编辑器选项卡。如图所示，aCSPolicyName是用于指定dACL名称的属性。但是，如前所述，也可以使用任何可以接受字符串值的属性。

将属性从AD导入ISE

要使用在AD上配置的属性，ISE需要导入该属性。要导入属性，请导航至“管理”>“身份管理”>“外部身份源”>“Active Directory”>“[已配置加入点]”>“属性”选项卡。单击添加，然后从目录中选择属性。在AD上提供用户帐户名，然后单击检索属性。选择为dACL配置的属性，单击确定，然后单击保存。如图所示，aCSPolicyName是属性。

为内部和外部用户配置授权配置文件

要配置授权配置文件，请导航至策略>Policy元素>结果>授权>授权配置文件。单击 Add。为内部用户提供名称并选择dACL名称为InternalUser:<custom attribute created>。如图所示，对于内部用户，配置文件InternalUserAttributeTest配置了配置为InternalUser:ACL的dACL。

对于外部用户，请使用<Join point name>:<AD上配置的属性>作为dACL名称。在本示例中，配置文件ExternalUserAttributeTest配置了配置为RiniAD:aCSPolicyName的dACL，其中RiniAD是加入点名称。

配置授权策略

授权策略可以在Policy > Policy Sets中配置，这取决于外部用户在AD上存在的组，也取决于ISE内部身份库中的用户名。在本示例中，testuserexternal是组rinsantr.lab/Users/Test Group中的用户，testuserinternal是ISE内部身份库中的用户。