默认情况下，思科 ISE 提供内部管理员身份验证。要设置外部身份验证，您必须为您在外部身份库中定义的外部管理员帐户创建密码策略。然后，您可以将此策略应用于最终成为外部管理员 RBAC 策略一部分的外部管理员组。

要配置外部身份验证，必须执行以下操作：

• 使用外部身份库，配置基于密码的身份验证。

• 创建外部管理员组。

• 为外部管理员组配置菜单访问和数据访问权限。

• 为外部管理员身份验证创建 RBAC 策略。

除了通过外部身份库提供身份验证之外，您的网络还可能要求您使用通用访问卡 (CAC) 身份验证设备。

用户身份就像一个容纳关于用户的信息并形成其网络访问凭证的容器。每个用户的身份都由数据定义并且包括：用户名、邮件地址、密码、帐户说明、关联管理组、用户组和角色。

用户组是单个用户的集合，这些用户拥有一系列允许其访问特定思科 ISE 服务和功能的相同权限。

用户的组身份包含用于标识和说明属于同一个组的一组特定用户的元素。组名是此组的成员具有的功能角色的说明。组是属于此组的用户的列表。

用户角色是决定用户可以执行什么任务以及可以访问思科 ISE 网络上的什么服务的一系列权限。用户角色与用户组关联。例如，网络接入用户。

思科 ISE 允许根据用户属性限制网络访问用户和管理员的网络访问。思科 ISE 具有一系列预定义的用户属性并且允许创建自定义属性。两种属性都可以用于定义身份验证策略的条件中。您还可以为用户帐户定义密码策略，以使密码符合指定的条件。

自定义用户属性

您可以在用户自定义属性 (User Custom Attributes) 窗口（管理 (Administration) > 身份管理 (Identity Management) > 设置 (Settings) > 用户自定义属性 (User Custom Attributes)）配置其他用户帐户属性。在此窗口中，您还可以查看预定义用户属性列表。不能编辑预定义用户角色。

在用户自定义属性 (User Custom Attributes) 窗格输入必填的详细信息以添加新的自定义属性。在添加或编辑网络访问用户（管理 [Administration] > 身份管理 [Identity Management] > 身份 [Identities] > 用户 [Users] > 添加/编辑 [Add/Edit]）或管理员用户（管理 [Administration] >系统 [System] > 管理访问 [Admin Access] > 管理员 [Administrators] > 管理员用户 [Admin Users] > 添加/编辑 [Add/Edit]）时，会显示您在用户自定义属性 (User Custom Attributes) 窗口添加的自定义属性和默认值。在添加或编辑网络访问或管理员用户时，您可以更改默认值。

注	PAP 和 PAP_ASCII（用于 VPN 连接）身份验证流不支持 下次登录时更改密码 设置。

您可以在用户自定义属性 (User Custom Attributes) 窗口为自定义属性选择以下数据类型：

• 字符串 (String)：您可以指定最大字符串长度（字符串属性值允许的最大长度）。

• 整数 (Integer)：您可以配置最小和最大值（指定最低和最高的可接受整数值）。

• 枚举 (Enum)：您可以为每个参数指定以下值：

  • 内部使用

  • 显示值

  您还可以指定默认参数。在显示 (Display) 字段中添加的值会在添加或编辑网络访问或管理员用户时显示。

• Float

• 密码 (Password)：您可以指定最大字符串长度。

• 长 (Long)：您可以配置最小和最大值。

• IP：您可以指定默认 IPv4 或 IPv6 地址。

• Boolean：您可以设置 True 或 False 作为默认值。

• 日期 (Date)：您可以从日历中选择一个日期并将其设置为默认值。该日期显示格式为 yyyy-mm-dd。

如果要在添加或编辑网络访问或管理员用户时将一个属性设置为强制属性，请选中强制 (Mandatory) 复选框。您还可以设置自定义属性的默认值。

自定义属性可在身份验证策略中使用。您为自定义属性设置的数据类型和允许范围将应用于策略条件中的自定义属性值。

并非所有外部身份存储区都允许网络访问用户更改其密码。有关详细信息，请参阅每个身份源对应的部分。

网络使用密码规则是在 管理 > 身份管理 > 设置 > 用户身份验证设置中配置的。

以下部分提供有关 密码策略 选项卡上某些字段的更多信息。

• 必要字符 (Required Characters)：如果配置要求使用大写或小写字符的用户密码策略，而用户的语言不支持这些字符，则用户无法设置密码。要支持 UTF-8 字符，请取消选中以下复选框：

  • 小写字母字符

  • 大写字母字符

• 密码更改增量 (Password Change Delta)：指定在将当前密码更改为新密码时必须更改的最小字符数。思科 ISE 不会将字符位置更改视为更改。例如，如果密码增量为 3，当前密码为“?Aa1234?”，则“?Aa1567?” （“5”、“6”和“7”是三个新字符）是有效的新密码。“?Aa1562?”失败，因为“?”、“2”和“?”字符包含在当前密码中。“Aa1234??”失败，因为尽管字符位置已更改，但当前密码中的字符是相同的。

  密码更改增量也会考虑以前的 X 个密码，其中 X 是密码必须与以前的版本不同 (Password must be different from the previous versions) 的值。如果密码增量为 3，密码历史记录为 2，则必须更改未包含在过去两个密码中的 四个字符。

• 字典单词 (Dictionary words)：选中此复选框可限制使用任何字典单词、它的逆序字符或用其他字符替换的字母。

  不允许用“$”替换“s”、“@”替换“a”、“0”替换“o”、“1”替换“l”、“!”替换“i”、“3”替换“e”。例如，“Pa$$w0rd”。

  • 默认字典 (Default Dictionary)：选择此选项可在思科 ISE 中使用默认 Linux 字典。此默认字典包含约 480,000 个英文单词。

  • 自定义字典 (Custom Dictionary)：选择此选项可使用您自定义的字典。点击选择文件 (Choose File) 以选择自定义字典文件。此文本文件必须包含新行分隔单词，为 .dic 扩展，且大小低于 20 MB。

• 您可以使用密码生存期 (Password Lifetime) 部分更新密码重置间隔和提醒。要设置密码的有效期，请选中每__天更改密码（有效范围1到3650）复选框，并在输入字段中输入天数。如果用户未在指定时间内更改密码，则可以通过选择 禁用用户账户 选项来禁用用户账户。选择 下次登录时需要更改密码 ，以提示用户在下次登录思科 ISE 时更改其密码。

  要发送密码重置提醒邮件，请选中在密码到期前 __ 天显示提醒 (Display reminder __ days prior to password expiration) 复选框，然后输入将提醒邮件发送到为网络访问用户配置的邮件地址的提前天数。在创建网络访问用户时，您可以在管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users) > 添加网络访问用户 (Add Network Access User) 窗口中添加邮件地址，以发送密码重置邮件通知。

  注	提醒邮件从以下邮件地址发送：iseadminportal@<ISE-Primary-FQDN>. 您必须明确允许该发件人的访问权限。 默认情况下，提醒邮件包含以下内容：您的网络访问密码将在 <密码到期日期和时间> 到期。如需帮助，请联系您的系统管理员。 从思科 ISE 版本 3.2 开始，您可以在邮件通知的 请联系系统管理员寻求帮助 部分之后自定义邮件内容。

• 锁定/暂停账户前的错误登录尝试数：如果登录尝试失败次数超过所指定的值，使用此选项暂停或锁定账户。有效范围为 3 到 20。

• 账号禁用策略：配置有关何时禁用现有用户账户的规则。有关详细信息，请参阅全局禁用用户帐户。

对用户或管理员进行身份验证或查询时，思科 ISE 会在管理 (Administration) > 身份管理 (Identity Management) > 设置 (Settings) > 用户身份验证设置 (User Authentication Settings) 中检查全局帐户禁用策略设置，并根据配置进行身份验证或返回结果。

思科 ISE 会验证以下三个策略：

• 禁用超过指定日期 (yyyy-mm-dd) 的用户账号：在指定日期禁用用户账号。但是，在管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users) > 帐户禁用策略 (Account Disable Policy) 中为单个网络访问用户配置的帐户禁用策略设置优先于全局设置。

• 在帐户创建或最后一次启用 n 天后禁用用户账号：在帐户创建或帐户最后一次处于活动状态的日期过去指定天数后禁用用户账号。您可以在管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users) > 状态 (Status) 中检查用户状态。

• 处于非活动状态 n 天后禁用帐户：禁用在配置的连续天数内尚未进行身份验证的管理员和用户账号。

从思科 Secure ACS 迁移至思科 ISE 后，为思科安全 ACS 中的网络访问用户指定的帐户禁用策略设置迁移至思科 ISE。

思科 ISE 允许您利用外部身份存储密码验证内部用户。思科 ISE 可通过以下页面为内部用户提供选择密码身份存储的选项：管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users) 窗口。在用户 (Users) 窗口添加或编辑用户时，管理员可以从思科 ISE 外部身份源列表中选择身份存储。内部用户的默认密码身份存储为内部身份存储。Cisco Secure ACS 用户在从 Cisco Secure ACS 迁移至思科 ISE 过程中及之后将会保持相同的密码身份存储。

思科 ISE 支持以下密码类型的外部身份存储：

• Active Directory

• LDAP

• ODBC

• RADIUS 令牌服务器

• RSA SecurID 服务器

注	根据最新的设计，如果对外部 ID 存储区执行身份验证，则无法在授权策略中配置内部用户身份组名称。为了使用内部用户身份组进行授权，必须将身份验证策略配置为根据内部用户 ID 存储进行身份验证，并且必须在用户配置中选择密码类型（可以是内部或外部）。

Active Directory 支持使用某些协议对用户和设备进行身份验证、更改 Active Directory 用户密码等功能。下表列出了 Active Directory 支持的身份验证协议及相应功能。

思科 ISE 从 Active Directory 检索用户或设备属性和组以用于授权策略规则。这些属性可用于思科 ISE 策略并且决定了用户或设备的授权级别。思科 ISE 在身份验证成功后会检索用户和设备 Active Directory 属性，还可以为与身份验证无关的授权检索属性。

思科 ISE 可以使用外部身份存储区中的组来为用户或计算机分配权限；例如，将用户映射到发起人组。请注意 Active Directory 中的以下组成员身份限制：

• 策略规则条件可引用以下任意组：用户或计算机的主要组、用户或计算机作为直接成员的组，或者间接（嵌套）组。

• 不支持在用户或计算机的帐户域外的域本地组。

注	您可以使用 Active Directory 属性 (msRadiusFramedIPAddress) 的值作为 IP 地址。可将此 IP 地址发送给授权配置文件中的网络接入服务器 (NAS)。msRADIUSFramedIPAddress 属性仅支持 IPv4 地址。在进行用户身份验证时，为用户获取的 msRadiusFramedIPAddress 属性值将转换为 IP 地址格式。

系统按加入点检索和管理属性和组。这些属性和组将用于授权策略（方法是首先选择加入点，然后选择属性）。您无法按范围为授权定义属性或组，但可以对身份验证策略使用范围。当您在身份验证策略中使用范围时，可以通过一个加入点对用户进行身份验证，但要通过另一个具有用户帐户域信任路径的加入点检索属性和/或组。您可以使用身份验证域来确保一个范围中的任两个加入点在身份验证域中都没有任何重叠。

注	在多加入点配置的授权过程中，思科 ISE 会按照加入点在授权策略中列出的顺序搜索它们，直到找到特定用户才会停止。找到用户后，在加入点中分配给用户的属性和组将用于评估授权策略。

注	请参阅 Microsoft 对可用 Active Directory 组的最大数量限制： http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=WS.10).aspx

如果规则包含带有特殊字符（例如 /、!、@、\、#、$、%、^、&、*、(、)、_、+ 或 ~）的 Active Directory 组名称，则授权策略会失败。

如果管理员用户名包含 $ 字符，则通过 Active Directory 进行的管理员用户登录可能会失败。

思科 ISE 支持为使用 EAP-TLS 协议的用户和设备身份验证检索证书。Active Directory 上的用户或设备记录包括二进制数据类型的证书属性。此证书属性可以包含一个或多个证书。思科 ISE 将此属性标识为 userCertificate，并且不允许为此属性配置任何其他名称。思科 ISE 会检索此证书并将其用于执行二进制比较。

证书身份验证配置文件决定从哪个字段（例如 Subject Alternative Name (SAN) 或 Common Name 字段）获取用户名以在 Active Directory 中查找用于检索证书的用户。思科 ISE 检索到证书后，会将此证书与客户端证书进行二进制比较。当接收到多个证书时，思科 ISE 会对这些证书进行比较以确定相匹配的证书。找到匹配的证书后，则用户或设备身份验证通过。

当对用户进行身份验证或查询时，思科 ISE 会检查以下内容：

• MS-CHAP 和 PAP 身份验证会检查用户是否被禁用、锁定、过期或者登录超时，如果上述任一条件为真，则身份验证失败。

• EAP-TLS 身份验证会检查用户是否被禁用或锁定，如果满足上述任一条件，则身份验证失败。

小心	思科 ISE 中的资源所有者密码凭证 (ROPC) 流是一种受控引入功能。我们建议您在生产环境中使用此功能之前，在测试环境中全面测试此功能。

资源所有者密码凭证 (ROPC) 是一种 OAuth 2.0 授予类型，允许思科 ISE 使用基于云的身份提供程序在网络中执行授权和身份验证。

通过 ROPC 流，思科 ISE 使用基于云的身份源验证用户的凭证。ROPC 流支持明文身份验证协议。

思科 ISE 目前通过 ROPC 流支持 Azure Active Directory。

思科 ISE 支持带多域林的 Active Directory。在每个林中，思科 ISE 连接到单个域，但如果在思科 ISE 连接到的域与其他域之间建立信任关系，则可从 Active Directory 林中的其他域访问资源。

请参阅思科身份服务引擎的版本说明，以获取支持 Active Directory 服务的 Windows 服务器操作系统列表。

注	思科 ISE 不支持位于网络地址转换器背后并具有网络地址转换 (NAT) 地址的 Microsoft Active Directory 服务器。

思科 ISE 支持对 Active Directory 域执行多加入。思科 ISE 最多支持 50 个 Active Directory 加入。思科 ISE 能够连接没有双向信任或者具有零信任的多个 Active Directory 域。Active Directory 多域加入包括一组不同的 Active Directory 域，每个加入均有其自己的组、属性和授权策略。

您可以多次联接同一个域林，也即是说，如有必要，您可以在同一个域林中联接不止一个域。

思科 ISE 现在允许联接具有单向信任的域。此选项有助于绕过单向信任导致的权限问题。您可以联接以下任一受信任域，因此能够看见这两个域。

• 加入点：在思科 ISE 中，每个到 Active Directory 域的独立加入都叫作一个加入点。Active Directory 加入点是思科 ISE 身份库，可用于身份验证策略。它有用于属性和组的关联字典，这些属性和组可用于授权条件。

• 范围：一部分 Active Directory 加入点组合到一起就叫做范围。您可以在身份验证策略中使用范围代替单个加入点并用作身份验证结果。范围用于按照多个加入点对用户进行身份验证。如果您使用范围，就无需为每个加入点设置多个规则，可以创建只有单个策略的相同策略，节约了思科 ISE 用于处理请求的时间并且有助于提高性能。一个加入点可以用于多个范围中。范围可以包含在身份源序列中。因为范围不具有任何关联字典，所以您无法将范围用于授权策略条件中。

  当您执行思科 ISE 全新安装时，默认情况下并无范围。这称为无范围模式。当您添加范围时，思科 ISE 进入多范围模式。如果需要，您可以返回无范围模式。所有加入点将移至 Active Directory 文件夹。

  • Initial_Scope 是用于存储在无范围模式中添加的 Active Directory 加入点的隐式范围。当启用多范围模式时，所有 Active Directory 加入点将移至自动创建的 Initial_Scope。您可以重命名 Initial_Scope。

  • All_AD_Instances 是在 Active Directory 配置中不显示的一个内置伪范围。它只在策略和身份序列中作为身份验证结果显示。如果您要选择思科 ISE 中配置的所有 Active Directory 加入点，就可以选择此范围。

身份重写是一种定向思科 ISE 的高级功能，使其在传递至外部 Active Directory 系统之前处理其身份。您可以创建规则以将身份改为包含或排除域前缀和/或后缀或您所选择的其他附加标记的相应格式。

身份重写规则应用于传递至 Active Directory 之前从客户端接收的用于使用者搜索、身份验证和授权查询等操作的用户名或主机名。思科 ISE 将匹配条件标记，在发现第一个匹配项时，思科 ISE 停止处理策略并根据结果重写身份字符串。

在重写期间，以方括号" [] "括起来的所有内容（例如 [IDENTITY]）是变量，在评估端不会对其进行评估，但会添加与字符串中该位置匹配的字符串。没有方括号的所有内容在规则的评估端和重写端都会评估为固定字符串。

以下是身份重写的一些示例，假设用户输入的身份是 ACME\jdoe：

• 如果身份与 ACME\[IDENTITY] 匹配，则重写为 [IDENTITY]。

  结果是 jdoe。此规则指示思科 ISE 删掉所有用户名的 ACME 前缀。

• 如果身份与 ACME\[IDENTITY] 匹配，则重写为 [IDENTITY]@ACME.com。

  结果是 jdoe@ACME.com。此规则指示思科 ISE 将格式从前缀更改为后缀表示法，或从 NetBIOS 格式更改为 UPN 格式。

• 如果身份与 ACME\[IDENTITY] 匹配，则重写为 ACME2\[IDENTITY]。

  结果是 ACME2\jdoe。此规则指示思科 ISE 将具有特定前缀的所有用户名更改为使用备用前缀。

• 如果身份与 [ACME]\jdoe.USA 匹配，则重写为 [IDENTITY]@[ACME].com。

  结果是 jdoe\ACME.com。此规则指示思科 ISE 删掉点后面的领域（在本例中是国家/地区），替换为正确的领域。

• 如果身份与 E=[IDENTITY] 匹配，则重写为 [IDENTITY]。

  结果是 jdoe。如果身份来自证书，字段是邮件地址，而且 Active Directory 配置为按使用者搜索，则可以创建此示例规则。此规则指示思科 ISE 删除“E=”。

• 如果身份与 E=[EMAIL],[DN] 匹配，则重写为 [DN]。

  此规则会将证书使用者从 E=jdoe@acme.com, CN=jdoe, DC=acme, DC=com 转变为纯 DN, CN=jdoe, DC=acme, DC=com。如果身份取自证书使用者，且 Active Directory 配置为按 DN 搜索用户，则可以创建此示例规则。此规则指示思科 ISE 删掉邮件前缀并生成 DN。

以下是编写身份重写规则的一些常见错误：

• 如果身份与 [DOMAIN]\[IDENTITY] 匹配，则重写为 [IDENTITY]@DOMAIN.com。

  结果是 jdoe@DOMAIN.com。此规则在规则的重写端没有用方括号 [] 括起来的 [DOMAIN]。

• 如果身份与 DOMAIN\[IDENTITY] 匹配，则重写为 [IDENTITY]@[DOMAIN].com。

  同样，结果是 jdoe@DOMAIN.com。此规则在规则的评估端没有用方括号 [] 括起来的 [DOMAIN]。

身份重写规则始终应用在 Active Directory 加入点的情景中。即使由于身份验证策略而选择了范围，重写规则也适用于每个 Active Directory 加入点。如果使用的是 EAP-TLS，这些重写规则还适用于取自证书的身份。

某些身份类型包括域标记，如前缀或后缀。例如，在如 ACME\jdoe 这样的 NetBIOS 身份中，“ACME”是域标记前缀，同样在如 jdoe@acme.com 这样的 UPN 身份中，“acme.com”是域标记后缀。域前缀应该与组织中 Active Directory 域的 NetBIOS (NTLM) 名称匹配，域后缀应该与组织中 Active Directory 域的 DNS 名称或备选 UPN 后缀匹配。例如，jdoe@gmail.com 会视为没有域标记，因为 gmail.com 不是 Active Directory 域的 DNS 名称。

身份解析设置允许您配置重要设置来调整安全和性能的平衡，以符合您的 Active Directory 部署。您可以使用这些设置来调整没有域标记的用户名和主机名的身份验证。在思科 ISE 不知道用户域的情况下，可以将其配置为在所有身份验证域中搜索用户。即使在一个域中找到了用户，思科 ISE 仍将等待所有响应以确保不存在模糊身份。这可能需要较长时间，具体取决于域的数量、网络中的延迟、负载等。

思科 ISE 使用 SAM、CN 或这两者来识别用户。思科 ISE 版本 2.2 补丁 5 及更高版本，版本 2.3 补丁 2 及更高版本，将 sAMAccountName 属性用作默认属性。在早期版本中，默认搜索 SAM 和 CN 属性。此行为已在版本 2.2 补丁 5 及更高版本，以及版本 2.3 补丁 2 及更高版本中发生更改，是 CSCvf21978 漏洞修复的组成部分。在这些版本中，仅 sAMAccountName 属性用作默认属性。

如果环境需要，您可以配置思科 ISE 以使用 SAM、CN 或者这两者。使用 SAM 和 CN 时，SAMAccountName 属性的值不唯一，思科 ISE 还将比较 CN 属性值。

注	默认情况下，身份搜索行为已在思科 ISE 2.4 中更改为仅搜索 SAM 帐户名称。要修改此默认行为，请按照“配置 Active Directory 身份搜索的属性”部分所述更改“IdentityLookupField”标志的值。

对于 Windows Server 2012 R2，授予 Microsoft AD 用户对以下注册表项的完全控制权限：

• HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

• HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

在 Windows PowerShell 中使用以下命令来检查是否提供了对注册表项的完整权限：

• get-acl -path "Microsoft.PowerShell.Core\Registry::HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

• get-acl -path "hklm:\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}" | format-list

当 Microsoft AD 用户不在域管理员组，但在域用户组中时，还需要以下权限：

• 添加注册表项以允许思科 ISE 连接到域控制器。

• 在域控制器上使用 DCOM 的权限

• 设置访问 WMI Root 和 CIMv2 命名空间的权限

只有以下 Active Directory 版本要求具有这些权限：

• Windows 2003

• Windows 2003R2

• Windows 2008

• Windows 2008 R2

• Windows 2012

• Windows 2012 R2

• Windows 2016

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"AppID"="{76A64158-CB41-11D1-8B02-00600806D9B6}"

[HKEY_CLASSES_ROOT\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

[HKEY_CLASSES_ROOT\Wow6432Node\AppID\{76A64158-CB41-11D1-8B02-00600806D9B6}]
"DllSurrogate"="  "

要快速开始使用思科 被动 ID 工作中心，请遵循以下流程：

1. 确保您已正确配置 DNS 服务器，包括从思科 ISE 配置客户端机器的反向查找。有关详细信息，请参阅DNS 服务器。

2. 在您打算用于任何被动身份服务的专用策略服务器 (PSN) 上启用被动身份和 pxGrid 服务。选择管理 (Administration) > 系统 (System) > 部署 (Deployment)，打开相关节点，在常规 (General Settings) 设置下启用启用被动身份服务 (Enable Passive Identity Service) 和 pxGrid。

3. 同步 NTP 服务器的时钟设置。

4. 使用 ISE 被动身份设置来配置初始提供程序。有关详细信息，请参阅PassiveID 设置入门

5. 配置单个或多个用户。有关详细信息，请参阅用户

设置初始提供程序和用户后，可以轻松创建其他提供程序（请参阅其他 被动身份服务 提供程序）并从 被动 ID 工作中心：

思科被动 ID 工作中心控制板显示对于有效地进行监控和故障排除很重要的综合性相关摘要和统计数据，并实时更新。Dashlet 显示过去 24 小时的活动，另有说明的情况除外。要访问控制板，请选择工作中心 (Work Centers) > 被动 ID (PassiveID)，然后从左侧面板中选择控制板 (Dashboard)。只能在主管理节点 (PAN) 上查看思科 被动 ID 工作中心 控制板。

• 主要 (Main) 视图具有线性指标控制板、饼形图 Dashlet 和列表 Dashlet。在 ISE-PIC被动 ID 工作中心 中，Dashlet 不可配置。可用 Dashlet 包括：

  • 被动身份指标 (Passive Identity Metrics)：显示当前跟踪的唯一实时会话总数、系统中配置的身份提供程序总数、主动提供身份数据的代理总数，以及当前配置的用户总数。

  • 提供程序 (Providers)：提供程序向 被动 ID 工作中心 提供用户身份信息。可以配置 ISE 探测器（从给定源收集数据的机制），并通过此探测器从提供程序源接收信息。例如，Active Directory (AD) 探测器和代理探测器均可帮助 ISE-PIC 从 AD 收集数据（每个采用不同的技术），而系统日志探测器可从读取系统日志消息的解析器收集数据。

  • 用户 (Subscribers)：用户连接至 ISE 以检索用户身份信息。

  • 操作系统类型 (OS Types)：可以显示的唯一操作系统类型为 Windows。Windows 类型按 Windows 版本显示。提供程序不报告操作系统类型，但 ISE 可查询 Active Directory 以获取此信息。Dashlet 中最多显示 1000 个条目。

  • 警报 (Alarms)：用户身份相关警报。

Active Directory (AD) 是一种高度安全且精确的源，可以从中接收用户身份信息，包括用户名、IP 地址和域名。

AD 探测器（被动身份服务）通过 WMI 技术从 AD 收集用户身份信息，而其他探测器则通过其他技术和方法将 AD 用作用户身份提供程序。有关 ISE 提供的其他探测器和提供程序类型的详细信息，请参阅其他 被动身份服务 提供程序。

通过配置 Active Directory 探测器，您还可以快速配置并启用以下其他探测器（它们也使用 Active Directory 作为源）：

• Active Directory 代理

  注	仅在 Windows Server 2008 及更高版本上支持 Active Directory 代理。

• SPAN

• 终端探测器

此外，配置 Active Directory 探测器，以便在收集用户信息时使用 AD 用户组。您可以对 AD、代理、SPAN 和系统日志探测使用 AD 用户组。有关 AD 组的详细信息，请参阅配置 Active Directory 用户组。

从被动身份服务工作中心，在 Active Directory (AD) 域控制器 (DC) 或成员服务器上的任意位置（根据配置）安装本地 32 位应用（即域控制器 (DC) 代理），以从 AD 检索用户身份信息，然后将这些身份发送给已配置的用户。代理探测器是将 Active Directory 用于用户身份信息的一种快速高效的解决方案。代理可安装在单独的域中，也可安装在 AD 域中，并且一旦安装，它们就会每分钟提供一次 ISE 的状态更新。

代理可由 ISE 自动安装和配置，您也可以手动对其进行安装。安装时，会发生以下情况：

• 代理及其关联文件安装在以下路径：Program Files/Cisco/Cisco ISE PassiveID Agent

• 系统将安装一个名为 PICAgent.exe.config 的配置文件，其中会指示代理的日志记录级别。您可以从该配置文件内手动更改日志记录级别。

• CiscoISEPICAgent.log 文件与所有日志记录消息一起存储。

• nodes.txt 文件包含部署中可与代理进行通信的所有节点的列表。代理会访问列表中的第一个节点。如果无法访问该节点，代理将根据列表中节点的顺序继续尝试通信。对于手动安装，必须打开文件并输入节点 IP 地址。（手动或自动）安装完成后，便只能通过手动更新该文件来对其进行更改。打开文件，然后根据需要添加、更改或删除节点 IP 地址。

• 思科 ISE PassiveID 代理服务在机器上运行，您可从“Windows 服务”对话框管理该机器。

• ISE 最多支持 100 个域控制器，而每个代理最多可以监控 10 个域控制器。要监控 100 个域控制器，必须配置 10 个代理。

• 仅在 Windows Server 2008 及更高版本上支持 Active Directory 代理。如果无法安装代理，则对被动身份服务使用 Active Directory 探测器。有关详细信息，请参阅Active Directory 作为探测器和提供程序。

注	即使您在成员服务器上运行 AD 代理，它也仍会在 Active Directory 中查询登录请求。