简介
本文档介绍为ISE内部身份库或外部身份库中的用户配置每用户动态访问控制列表(dACL)。
先决条件
要求
思科建议您了解身份服务引擎(ISE)上的策略配置。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 身份服务引擎3.0
- Microsoft Windows Active Directory 2016
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
可以使用自定义用户属性为内部存储中的任何用户配置每用户dACL。对于Active Directory(AD)中的用户,任何类型字符串的属性都可用于实现相同的目标。本部分提供配置ISE和AD上的属性所需的信息以及ISE上使用此功能所需的配置。
在ISE上配置新的自定义用户属性
导航至管理>身份管理>设置>用户自定义属性。单击+按钮(如图所示)以添加新属性并保存更改。在本例中,自定义属性的名称是ACL。

配置dACL
要配置可下载的ACL,请导航至Policy > Policy Elements > Results > Authorization > Downloadable ACLs。单击 Add。提供dACL的名称、内容并保存更改。如图所示,dACL的名称为NotMochAccess。

使用自定义属性配置内部用户帐户
导航至管理>身份管理>身份>用户>添加。创建用户,并使用用户授权时需要获取的dACL的名称配置自定义属性值。在本例中,dACL的名称为NotMochAccess。

配置AD用户帐户
在Active Directory上,导航至用户帐户属性,然后导航至属性编辑器选项卡。如图所示,aCSPolicyName是用于指定dACL名称的属性。但是,如前所述,也可以使用任何可以接受字符串值的属性。

将属性从AD导入ISE
要使用在AD上配置的属性,ISE需要导入该属性。要导入属性,请导航至“管理”>“身份管理”>“外部身份源”>“Active Directory”>“[已配置加入点]”>“属性”选项卡。单击添加,然后从目录中选择属性。在AD上提供用户帐户名,然后单击检索属性。选择为dACL配置的属性,单击确定,然后单击保存。如图所示,aCSPolicyName是属性。


为内部和外部用户配置授权配置文件
要配置授权配置文件,请导航至策略>Policy元素>结果>授权>授权配置文件。单击 Add。为内部用户提供名称并选择dACL名称为InternalUser:<custom attribute created>。如图所示,对于内部用户,配置文件InternalUserAttributeTest配置了配置为InternalUser:ACL的dACL。

对于外部用户,请使用<Join point name>:<AD上配置的属性>作为dACL名称。在本示例中,配置文件ExternalUserAttributeTest配置了配置为RiniAD:aCSPolicyName的dACL,其中RiniAD是加入点名称。

配置授权策略
授权策略可以在Policy > Policy Sets中配置,这取决于外部用户在AD上存在的组,也取决于ISE内部身份库中的用户名。在本示例中,testuserexternal是组rinsantr.lab/Users/Test Group中的用户,testuserinternal是ISE内部身份库中的用户。

验证
使用本节验证配置是否有效。
检查RADIUS实时日志以验证用户身份验证。
内部用户:

外部用户:

单击成功用户身份验证上的放大镜图标,验证请求是否符合详细实时日志的概述部分中的正确策略。
内部用户:

外部用户:

检查详细实时日志的“其他属性”部分,以验证是否已检索用户属性。
内部用户:

外部用户:

检查详细实时日志的Result部分,以验证dACL属性是否作为Access-Accept的一部分发送。

此外,检查RADIUS实时日志以验证在用户身份验证后是否下载dACL。

单击成功的dACL下载日志上的放大镜图标并验证概述部分以确认dACL下载。

检查此详细报告的Result部分,以验证dACL的内容。

故障排除
目前没有针对此配置的故障排除信息。