简介
本文档介绍Cisco Umbrella中的多AD域支持。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于Cisco Umbrella。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
现在,Umbrella组织中的多个Active Directory域支持已默认启用。
如果您已经在单独的Umbrella组织中注册了多个AD域,则可以将这些组织整合为具有多AD域支持的单个Umbrella组织。有关详细信息,请参阅本文档。
多AD域支持的必备条件
- 需要在每个域中创建登录名为OpenDNS_Connector的用户帐户,并符合Umbrella文档中指定的要求。建议跨AD域为此帐户保留相同的密码。
- 对于使用虚拟设备进行部署,Umbrella站点中的每个AD域都需要一个AD连接器,如果需要,还需要可选的第二个连接器以实现冗余。
- 如果您的部署仅包括漫游客户端或AnyConnect,则单个多域AD Connector*可以同步多个域中的AD用户/组。这要求在每个域中使用相同的密码创建OpenDNS_Connector帐户。默认情况下,此功能未启用,您需要提交支持票证才能启用此功能。
- AD连接器必须运行版本1.2.3或更高版本。
- Umbrella文档中指定的所有其他前提条件也适用于多AD域。
多AD域支持的限制(虚拟设备部署)
- AD连接器当前无法识别跨域身份验证。如果AD用户根据属于某个其他AD域的本地域控制器进行身份验证,则AD连接器无法检索该用户的AD用户 — IP映射。虚拟设备无法将用户身份与该IP关联,因此不能为该用户实施任何基于AD的策略。解决方法是在同一Umbrella站点中包含来自两个AD域的域控制器,只要Umbrella站点(在Umbrella文档中指定)的标准不受影响。
- Umbrella策略不适用于具有跨域成员的AD组。 要创建应用于多个域中的用户的策略,必须将每个域中的相关组/用户添加到策略中。
多AD域支持的限制(漫游客户端部署)
- 漫游客户端/AnyConnect部署不受跨域身份验证限制的影响。
- 启用多域AD连接器功能后,Umbrella可以支持具有跨域组成员的AD组。需要通过提出支持票证来明确提出此请求。同一功能还允许单个连接器同步来自多个AD域的AD标识。
反馈