默认情况下，思科 ISE 提供内部管理员身份验证。要设置外部身份验证，您必须为您在外部身份库中定义的外部管理员帐户创建密码策略。然后，您可以将此策略应用于最终成为外部管理员 RBAC 策略一部分的外部管理员组。

要配置外部身份验证，必须执行以下操作：

• 使用外部身份库，配置基于密码的身份验证。

• 创建外部管理员组。

• 为外部管理员组配置菜单访问和数据访问权限。

• 为外部管理员身份验证创建 RBAC 策略。

除了通过外部身份库提供身份验证之外，您的网络还可能要求您使用通用访问卡 (CAC) 身份验证设备。

用户身份就像一个容纳关于用户的信息并形成其网络访问凭证的容器。每个用户的身份都由数据定义并且包括：用户名、邮件地址、密码、帐户说明、关联管理组、用户组和角色。

用户组是单个用户的集合，这些用户拥有一系列允许其访问特定思科 ISE 服务和功能的相同权限。

用户的组身份包含用于标识和说明属于同一个组的一组特定用户的元素。组名是此组的成员具有的功能角色的说明。组是属于此组的用户的列表。

用户角色是决定用户可以执行什么任务以及可以访问思科 ISE 网络上的什么服务的一系列权限。用户角色与用户组关联。例如，网络接入用户。

思科 ISE 允许根据用户属性限制网络访问用户和管理员的网络访问。思科 ISE 具有一系列预定义的用户属性并且允许创建自定义属性。两种属性都可以用于定义身份验证策略的条件中。您还可以为用户帐户定义密码策略，以使密码符合指定的条件。

并非所有外部身份存储区都允许网络访问用户更改其密码。有关详细信息，请参阅每个身份源对应的部分。

网络使用密码规则是在 管理 > 身份管理 > 设置 > 用户身份验证设置中配置的。

以下部分提供有关 密码策略 选项卡上某些字段的更多信息。

• 必要字符 (Required Characters)：如果配置要求使用大写或小写字符的用户密码策略，而用户的语言不支持这些字符，则用户无法设置密码。要支持 UTF-8 字符，请取消选中以下复选框：

  • 小写字母字符

  • 大写字母字符

• 密码更改增量 (Password Change Delta)：指定在将当前密码更改为新密码时必须更改的最小字符数。思科 ISE 不会将字符位置更改视为更改。例如，如果密码增量为 3，当前密码为“?Aa1234?”，则“?Aa1567?” （“5”、“6”和“7”是三个新字符）是有效的新密码。“?Aa1562?”失败，因为“?”、“2”和“?”字符包含在当前密码中。“Aa1234??”失败，因为尽管字符位置已更改，但当前密码中的字符是相同的。

  密码更改增量也会考虑以前的 X 个密码，其中 X 是密码必须与以前的版本不同 (Password must be different from the previous versions) 的值。如果密码增量为 3，密码历史记录为 2，则必须更改未包含在过去两个密码中的 四个字符。

• 您可以使用密码生存期 (Password Lifetime) 部分更新密码重置间隔和提醒。要设置密码的有效期，请选中每__天更改密码（有效范围1到3650）复选框，并在输入字段中输入天数。如果用户未在指定时间内更改密码，则可以通过选择 禁用用户账户 选项来禁用用户账户。选择 下次登录时需要更改密码 ，以提示用户在下次登录思科 ISE 时更改其密码。

  要发送密码重置提醒邮件，请选中在密码到期前 __ 天显示提醒 (Display reminder __ days prior to password expiration) 复选框，然后输入将提醒邮件发送到为网络访问用户配置的邮件地址的提前天数。在创建网络访问用户时，您可以在管理 (Administration) > 身份管理 (Identity Management) > 身份 (Identities) > 用户 (Users) > 添加网络访问用户 (Add Network Access User) 窗口中添加邮件地址，以发送密码重置邮件通知。

  注	提醒邮件从以下邮件地址发送：iseadminportal@<ISE-Primary-FQDN>. 您必须明确允许该发件人的访问权限。 默认情况下，提醒邮件包含以下内容：您的网络访问密码将在 <密码到期日期和时间> 到期。如需帮助，请联系您的系统管理员。 从思科 ISE 版本 3.2 开始，您可以在邮件通知的 请联系系统管理员寻求帮助 部分之后自定义邮件内容。

• 锁定/暂停账户前的错误登录尝试数：如果登录尝试失败次数超过所指定的值，使用此选项暂停或锁定账户。有效范围为 3 到 20。

• 账号禁用策略：配置有关何时禁用现有用户账户的规则。

Active Directory 支持使用某些协议对用户和设备进行身份验证、更改 Active Directory 用户密码等功能。下表列出了 Active Directory 支持的身份验证协议及相应功能。

思科 ISE 从 Active Directory 检索用户或设备属性和组以用于授权策略规则。这些属性可用于思科 ISE 策略并且决定了用户或设备的授权级别。思科 ISE 在身份验证成功后会检索用户和设备 Active Directory 属性，还可以为与身份验证无关的授权检索属性。

思科 ISE 可以使用外部身份存储区中的组来为用户或计算机分配权限；例如，将用户映射到发起人组。请注意 Active Directory 中的以下组成员身份限制：

• 策略规则条件可引用以下任意组：用户或计算机的主要组、用户或计算机作为直接成员的组，或者间接（嵌套）组。

• 不支持在用户或计算机的帐户域外的域本地组。

系统按加入点检索和管理属性和组。这些属性和组将用于授权策略（方法是首先选择加入点，然后选择属性）。您无法按范围为授权定义属性或组，但可以对身份验证策略使用范围。当您在身份验证策略中使用范围时，可以通过一个加入点对用户进行身份验证，但要通过另一个具有用户帐户域信任路径的加入点检索属性和/或组。您可以使用身份验证域来确保一个范围中的任两个加入点在身份验证域中都没有任何重叠。

注	在多加入点配置的授权过程中，思科 ISE 会按照加入点在授权策略中列出的顺序搜索它们，直到找到特定用户才会停止。找到用户后，在加入点中分配给用户的属性和组将用于评估授权策略。

注	请参阅 Microsoft 对可用 Active Directory 组的最大数量限制： http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=WS.10).aspx

如果规则包含带有特殊字符（例如 /、!、@、\、#、$、%、^、&、*、(、)、_、+ 或 ~）的 Active Directory 组名称，则授权策略会失败。

如果管理员用户名包含 $ 字符，则通过 Active Directory 进行的管理员用户登录可能会失败。

思科 ISE 支持为使用 EAP-TLS 协议的用户和设备身份验证检索证书。Active Directory 上的用户或设备记录包括二进制数据类型的证书属性。此证书属性可以包含一个或多个证书。思科 ISE 将此属性标识为 userCertificate，并且不允许为此属性配置任何其他名称。思科 ISE 会检索此证书并将其用于执行二进制比较。

证书身份验证配置文件决定从哪个字段（例如 Subject Alternative Name (SAN) 或 Common Name 字段）获取用户名以在 Active Directory 中查找用于检索证书的用户。思科 ISE 检索到证书后，会将此证书与客户端证书进行二进制比较。当接收到多个证书时，思科 ISE 会对这些证书进行比较以确定相匹配的证书。找到匹配的证书后，则用户或设备身份验证通过。

当对用户进行身份验证或查询时，思科 ISE 会检查以下内容：

• MS-CHAP 和 PAP 身份验证会检查用户是否被禁用、锁定、过期或者登录超时，如果上述任一条件为真，则身份验证失败。

• EAP-TLS 身份验证会检查用户是否被禁用或锁定，如果满足上述任一条件，则身份验证失败。

思科 ISE 支持带多域林的 Active Directory。在每个林中，思科 ISE 连接到单个域，但如果在思科 ISE 连接到的域与其他域之间建立信任关系，则可从 Active Directory 林中的其他域访问资源。

请参阅思科身份服务引擎的版本说明，以获取支持 Active Directory 服务的 Windows 服务器操作系统列表。

注	思科 ISE 不支持位于网络地址转换器背后并具有网络地址转换 (NAT) 地址的 Microsoft Active Directory 服务器。

思科 ISE 支持对 Active Directory 域执行多加入。思科 ISE 最多支持 50 个 Active Directory 加入。思科 ISE 能够连接没有双向信任或者具有零信任的多个 Active Directory 域。Active Directory 多域加入包括一组不同的 Active Directory 域，每个加入均有其自己的组、属性和授权策略。

您可以多次联接同一个域林，也即是说，如有必要，您可以在同一个域林中联接不止一个域。

思科 ISE 现在允许联接具有单向信任的域。此选项有助于绕过单向信任导致的权限问题。您可以联接以下任一受信任域，因此能够看见这两个域。

• 加入点：在思科 ISE 中，每个到 Active Directory 域的独立加入都叫作一个加入点。Active Directory 加入点是思科 ISE 身份库，可用于身份验证策略。它有用于属性和组的关联字典，这些属性和组可用于授权条件。

• 范围：一部分 Active Directory 加入点组合到一起就叫做范围。您可以在身份验证策略中使用范围代替单个加入点并用作身份验证结果。范围用于按照多个加入点对用户进行身份验证。如果您使用范围，就无需为每个加入点设置多个规则，可以创建只有单个策略的相同策略，节约了思科 ISE 用于处理请求的时间并且有助于提高性能。一个加入点可以用于多个范围中。范围可以包含在身份源序列中。因为范围不具有任何关联字典，所以您无法将范围用于授权策略条件中。

  当您执行思科 ISE 全新安装时，默认情况下并无范围。这称为无范围模式。当您添加范围时，思科 ISE 进入多范围模式。如果需要，您可以返回无范围模式。所有加入点将移至 Active Directory 文件夹。

  • Initial_Scope 是用于存储在无范围模式中添加的 Active Directory 加入点的隐式范围。当启用多范围模式时，所有 Active Directory 加入点将移至自动创建的 Initial_Scope。您可以重命名 Initial_Scope。

  • All_AD_Instances 是在 Active Directory 配置中不显示的一个内置伪范围。它只在策略和身份序列中作为身份验证结果显示。如果您要选择思科 ISE 中配置的所有 Active Directory 加入点，就可以选择此范围。

身份重写是一种定向思科 ISE 的高级功能，使其在传递至外部 Active Directory 系统之前处理其身份。您可以创建规则以将身份改为包含或排除域前缀和/或后缀或您所选择的其他附加标记的相应格式。

身份重写规则应用于传递至 Active Directory 之前从客户端接收的用于使用者搜索、身份验证和授权查询等操作的用户名或主机名。思科 ISE 将匹配条件标记，在发现第一个匹配项时，思科 ISE 停止处理策略并根据结果重写身份字符串。

在重写期间，以方括号" [] "括起来的所有内容（例如 [IDENTITY]）是变量，在评估端不会对其进行评估，但会添加与字符串中该位置匹配的字符串。没有方括号的所有内容在规则的评估端和重写端都会评估为固定字符串。

以下是身份重写的一些示例，假设用户输入的身份是 ACME\jdoe：

• 如果身份与 ACME\[IDENTITY] 匹配，则重写为 [IDENTITY]。

  结果是 jdoe。此规则指示思科 ISE 删掉所有用户名的 ACME 前缀。

• 如果身份与 ACME\[IDENTITY] 匹配，则重写为 [IDENTITY]@ACME.com。

  结果是 jdoe@ACME.com。此规则指示思科 ISE 将格式从前缀更改为后缀表示法，或从 NetBIOS 格式更改为 UPN 格式。

• 如果身份与 ACME\[IDENTITY] 匹配，则重写为 ACME2\[IDENTITY]。

  结果是 ACME2\jdoe。此规则指示思科 ISE 将具有特定前缀的所有用户名更改为使用备用前缀。

• 如果身份与 [ACME]\jdoe.USA 匹配，则重写为 [IDENTITY]@[ACME].com。

  结果是 jdoe\ACME.com。此规则指示思科 ISE 删掉点后面的领域（在本例中是国家/地区），替换为正确的领域。

• 如果身份与 E=[IDENTITY] 匹配，则重写为 [IDENTITY]。

  结果是 jdoe。如果身份来自证书，字段是邮件地址，而且 Active Directory 配置为按使用者搜索，则可以创建此示例规则。此规则指示思科 ISE 删除“E=”。

• 如果身份与 E=[EMAIL],[DN] 匹配，则重写为 [DN]。

  此规则会将证书使用者从 E=jdoe@acme.com, CN=jdoe, DC=acme, DC=com 转变为纯 DN, CN=jdoe, DC=acme, DC=com。如果身份取自证书使用者，且 Active Directory 配置为按 DN 搜索用户，则可以创建此示例规则。此规则指示思科 ISE 删掉邮件前缀并生成 DN。

以下是编写身份重写规则的一些常见错误：

• 如果身份与 [DOMAIN]\[IDENTITY] 匹配，则重写为 [IDENTITY]@DOMAIN.com。

  结果是 jdoe@DOMAIN.com。此规则在规则的重写端没有用方括号 [] 括起来的 [DOMAIN]。

• 如果身份与 DOMAIN\[IDENTITY] 匹配，则重写为 [IDENTITY]@[DOMAIN].com。

  同样，结果是 jdoe@DOMAIN.com。此规则在规则的评估端没有用方括号 [] 括起来的 [DOMAIN]。

身份重写规则始终应用在 Active Directory 加入点的情景中。即使由于身份验证策略而选择了范围，重写规则也适用于每个 Active Directory 加入点。如果使用的是 EAP-TLS，这些重写规则还适用于取自证书的身份。

某些身份类型包括域标记，如前缀或后缀。例如，在如 ACME\jdoe 这样的 NetBIOS 身份中，“ACME”是域标记前缀，同样在如 jdoe@acme.com 这样的 UPN 身份中，“acme.com”是域标记后缀。域前缀应该与组织中 Active Directory 域的 NetBIOS (NTLM) 名称匹配，域后缀应该与组织中 Active Directory 域的 DNS 名称或备选 UPN 后缀匹配。例如，jdoe@gmail.com 会视为没有域标记，因为 gmail.com 不是 Active Directory 域的 DNS 名称。

身份解析设置允许您配置重要设置来调整安全和性能的平衡，以符合您的 Active Directory 部署。您可以使用这些设置来调整没有域标记的用户名和主机名的身份验证。在思科 ISE 不知道用户域的情况下，可以将其配置为在所有身份验证域中搜索用户。即使在一个域中找到了用户，思科 ISE 仍将等待所有响应以确保不存在模糊身份。这可能需要较长时间，具体取决于域的数量、网络中的延迟、负载等。

LDAP 目录服务以客户端-服务器模式为基础。客户端通过连接至 LDAP 服务器并向服务器发送运行请求，启动 LDAP 会话。然后服务器发送其响应。一个或多个 LDAP 服务器包含来自 LDAP 目录树或 LDAP 后端数据库的数据。

目录服务管理一个目录，此目录是存储信息的一个数据库。目录服务使用分布式模式存储信息，而且通常会在目录服务器之间复制这些信息。

LDAP 目录以简单树状层次结构排列，可以分布在多个服务器中。每台服务器都可包含整个目录的复制版本，系统会定期同步此复制版本。

树中的每个条目都包含一组属性，其中每个属性都有一个名称（属性类型或属性说明）以及一个或多个值。这些属性在架构中定义。

每个条目都有一个唯一标识符：其可分辨名称 (DN)。此名称包含相对可分辨名称 (RDN)，RDN 由条目中的属性，然后加上父条目的 DN 构成。您可以将 DN 视为完整文件名，将 RDN 视为文件夹的相对文件名。

通过使用不同的 IP 地址或端口设置创建多个 LDAP 实例，可以将思科 ISE 配置为使用不同的 LDAP 服务器或同一个 LDAP 服务器中的不同数据库进行身份验证。每个主要服务器 IP 地址和端口配置，以及辅助服务器 IP 地址和端口配置，组成对应于一个思科 ISE LDAP 身份源实例的一个 LDAP 实例。

思科 ISE 不要求每个 LDAP 实例都对应一个 LDAP 数据库。可以设置多个 LDAP 实例来访问同一个数据库。当 LDAP 数据库包含多个用户或组子树时，此方法非常有用。由于每个 LDAP 实例仅支持一个用户子树目录和一个组子树目录，因此，必须为每个用户目录和组目录子树组合配置单独的 LDAP 实例，思科 ISE 为该组合提交身份验证请求。

思科 ISE 支持在主要 LDAP 服务器和辅助 LDAP 服务器之间进行故障转移。当 LDAP 服务器宕机或因其他原因而无法访问，导致思科 ISE 无法连接 LDAP 服务器，从而使得身份验证请求失败时，就会发生故障转移。

如果您建立故障转移设置并且思科 ISE 尝试连接的第一个 LDAP 服务器无法访问，思科 ISE 始终会尝试连接第二个 LDAP 服务器。如果您希望思科 ISE 再次使用第一个 LDAP 服务器，您必须在 Failback Retry Delay 文本框中输入一个值。

注	思科 ISE 始终使用主要 LDAP 服务器从 Admin 门户获取用于授权策略的组和属性，因此当您配置这些项目时必须可以访问主要 LDAP 服务器。根据故障切换配置，思科 ISE 仅将辅助 LDAP 服务器用于运行时的身份验证和授权。

思科 ISE 支持多个并行 LDAP 连接。首次进行 LDAP 身份验证时，根据需要打开连接。为每个 LDAP 服务器配置最大连接数。事先打开连接可缩短身份验证时间。可以设置最大连接数以用于并发绑定连接。每台 LDAP 服务器（主要或辅助）的打开连接数量可以不同，此数量根据为每台服务器配置的最大管理连接数来确定。

思科 ISE 会为思科 ISE 中配置的每台 LDAP 服务器保留打开的 LDAP 连接列表（包括绑定信息）。在身份验证流程中，连接管理器会尝试从池中查找打开的连接。如果打开的连接不存在，系统会打开新的连接。

如果 LDAP 服务器关闭连接，则连接管理器会在对搜索目录的第一个调用过程中报告错误，并会尝试更新连接。身份验证流程完成之后，连接管理器会发布连接。

您可以将 LDAP 配置为外部身份存储库。思科 ISE 使用明文密码身份验证。用户身份验证包括：

• 在 LDAP 服务器中搜索与请求中的用户名相匹配的条目。

• 使用 LDAP 服务器中查找到的用户密码检查用户密码。

• 检索用于策略的组成员信息。

• 检索指定属性的值以用于策略和授权配置文件。

若要验证用户，思科 ISE 会向 LDAP 服务器发送绑定请求。绑定请求会包含明文显示的用户 DN 和密码。如果用户的 DN 和密码与 LDAP 目录中的用户名和密码匹配，则用户通过身份验证。

注	思科 ISE 会为每个用户身份验证发送两条 searchRequest 消息。这不会影响思科 ISE 授权或网络性能。第二个 LDAP 请求用于确保思科 ISE 与正确的身份通信。 思科 ISE 作为 DNS 客户端，仅使用 DNS 响应中返回的第一个 IP 来执行 LDAP 绑定。

我们建议您使用安全套接字层 (SSL) 保护与 LDAP 服务器的连接。

思科 ISE 可以依据 LDAP 身份源验证主题（用户或主机），具体方法是在目录服务器上执行绑定操作，查找和验证主题。成功进行身份验证后，思科 ISE 可以在必要时检索属于主题的组和属性。通过选择管理 (Administration) > 身份管理 (Identity Management) > 外部身份源 (External Identity Sources) > LDAP，您可以在思科 ISE 管理员门户中配置要检索的属性。思科 ISE 可以使用这些组和属性授权主题。

要验证用户或查询 LDAP 身份源，思科 ISE 连接到 LDAP 服务器并维护连接池。

当 Active Directory 配置为 LDAP 存储时，应当注意下列关于组成员身份的限制：

• 用户或计算机必须是策略条件中定义的组的直接成员，才符合策略规则。

• 定义的组可能不是用户或计算机的主组。此限制仅在 Active Directory 配置为 LDAP 存储时适用。

思科 ISE 支持 LDAP 服务器的用户查找功能。通过此功能，可以在未经身份验证的情况下在 LDAP 数据库中搜索用户和检索信息。用户查找流程包括以下操作：

• 在 LDAP 服务器中搜索与请求中的用户名相匹配的条目

• 检索要用于策略的用户组成员身份信息

• 检索指定属性的值以用于策略和授权配置文件

思科 ISE 支持 MAC 地址查找功能。您可以通过此功能在 LDAP 数据库中搜索 MAC 地址以及在未经身份验证的情况下检索信息。MAC 地址查找过程包括以下操作：

• 在 LDAP 服务器中搜索与设备 MAC 地址匹配的条目

• 为策略中使用的设备检索 MAC 地址组信息

• 为策略中使用的指定属性检索值

对于 RADIUS 身份源，思科 ISE 支持以下身份验证协议：

• RADIUS PAP

• 使用内部可扩展身份验证协议 - 通用令牌卡 (EAP-GTC) 的受保护的可扩展身份验证协议 (PEAP)

• 使用内部 EAP-GTC 的 EAP-FAST

RADIUS 令牌服务器将 UDP 端口用于身份验证会话。此端口用于所有 RADIUS 通信。为了让思科 ISE 将 RADIUS 一次性密码 (OTP) 消息发送到已启用 RADIUS 的令牌服务器，必须确保思科 ISE 和已启用 RADIUS 的令牌服务器之间的网关设备能够通过 UDP 端口进行通信。您可以通过管理员门户配置 UDP 端口。

您在思科 ISE 中配置 RADIUS 身份源时必须提供共享密钥。此共享密钥应与 RADIUS 令牌服务器上配置的共享密钥相同。

思科 ISE 允许您配置多个 RADIUS 身份源。每个 RADIUS 身份源可以使用 RADIUS 主服务器和辅助服务器。当思科 ISE 无法连接到主服务器时，则会使用辅助服务器。

RADIUS 身份源允许您配置密码提示。您可以通过管理员门户配置密码提示。

思科 ISE 会获取用户凭证（用户名和密码）并将这些凭证发送到 RADIUS 令牌服务器。思科 ISE 还会将 RADIUS 令牌服务器身份验证处理的结果中继到用户。

默认情况下，RADIUS 令牌服务器不支持用户查找。但是，用户查找功能对于以下思科 ISE 功能非常重要。

• PEAP 会话恢复：此功能允许在建立 EAP 会话期间在身份验证成功之后恢复 PEAR 会话。

• EAP/FAST 快速重新连接：此功能允许在建立 EAP 会话期间在身份验证成功之后快速进行重新连接。

• TACACS+ 授权：在 TACACS+ 身份验证成功后发生。

思科 ISE 缓存成功的身份验证的结果以为这些功能处理用户查找请求。对于每次成功的身份验证，系统会缓存经过身份验证的用户的名称和所检索的属性。失败的身份验证不写入缓存。

在运行时内存中可提供缓存，在分布式部署中不可在思科 ISE 节点之间进行复制。您可以通过 Admin 门户为缓存配置有效时间 (TTL) 限制。您还必须启用身份缓存选项并以分钟为单位设置老化时间。在指定的时间内，内存中可提供缓存。

您可以在身份源序列中添加身份验证序列的 RADIUS 身份源。但是，由于您无法查询不带身份验证的 RADIUS 身份源，因此无法添加属性检索序列的 RADIUS 身份源。思科 ISE 在使用 RADIUS 服务器进行身份验证时无法区分不同的错误。RADIUS 服务器针对所有错误都返回 Access-Reject 消息。例如，当在 RADIUS 服务器中找不到用户时，RADIUS 服务器会返回 Access-Reject 消息，而不是返回 User Unknown 状态。

当思科 ISE 向支持 RADIUS 的令牌服务器转发身份验证请求时，RADIUS 身份验证请求包含以下属性：

• 用户名（RADIUS 属性 1）

• 用户密码（RADIUS 属性 2）

• NAS IP 地址（RADIUS 属性 4）

思科 ISE 预期收到以下任一响应：

• 接受访问：无需任何属性，但是响应可能包含根据 RADIUS 令牌服务器配置的各种属性。

• 拒绝访问：无需任何属性。

• 质询访问：每个 RADIUS RFC 所需的属性如下：

  • 状态（RADIUS 属性 24）

  • 回复信息（RADIUS 属性 18）

  • 以下一个或多个属性：供应商特定、空闲超时（RADIUS 属性 28）、会话超时（RADIUS 属性 27）、代理状态（RADIUS 属性 33）

    质询访问中不允许使用任何其他属性。

以下是将思科 ISE 与 RSA SecurID 服务器连接所涉及的两个管理角色：

• RSA 服务器管理员：配置和维护 RSA 系统与集成

• 思科 ISE 管理员：将思科 ISE 配置为连接到 RSA SecurID 服务器并维护配置

本节介绍将思科 ISE 与 RSA SecurID 服务器连接作为外部身份源所涉及的流程。有关 RSA 服务器的更多信息，请参考 RSA 文档。

Martian IP 地址不会在情景可视性 (Context Visibility) > 终端 (Endpoints) 和工作中心 (Work Centers) > 分析器 (Profiler) > 终端分类 (Endpoint Classification) 窗口中显示，因为 RADIUS 解析器会在这些地址到达分析服务之前将其删除。Martian IP 地址容易受到攻击，因此是安全隐患。但是，出于审核目的，MnT 日志中会显示 Martian IP 地址。此行为在组播 IP 地址的情况下也是如此。有关 Martian IP 地址的详细信息，请参阅 https://www.cisco.com/assets/sol/sb/Switches_Emulators_v2_3_5_xx/help/250/index.html#page/tesla_250_olh/martian_addresses.html

您可以通过在收集点减少不会频繁变更的终端属性的数量，减少持久性事件和复制事件的数量。启用终端属性过滤器 (EndPoint Attribute Filter) 会使思科 ISE 分析器仅保留允许的属性并丢弃所有其他属性。

要启用终端属性过滤器 (EndPoint Attribute Filter)，请参阅设置 CoA、SNMP RO 社区和终端属性过滤器部分。

允许列表是自定义终端分析策略中用于分析终端的一系列属性，这些属性至关重要，关系到授权更改 (CoA)、自带设备 (BYOD)、设备注册 WebAuth (DRW) 等在思科 ISE 中是否正常运行。允许列表始终用作终端所有权变更时（由多个策略服务节点收集属性时）的标准，即使禁用允许列表也不例外。

默认情况下禁用允许列表，并且只有在启用属性过滤器时才会丢弃属性。当终端分析策略变更（包括数据源变更，以在分析策略中包含新属性）时，允许列表会动态更新。在收集属性时，允许列表中不存在的任何属性会被立即丢弃，并且这些属性不用于分析终端。当与缓冲相结合时，可以减少持久性事件的数量。

您必须确保允许列表包含根据以下两个来源确定的一系列属性：

• 用于默认配置文件中的一系列属性，从而使您可以将终端与配置文件进行匹配。

• 对于使授权更改 (CoA)、自带设备 (BYOD)、设备注册 Web 身份验证 (DRW) 等正常运行很重要的一系列属性。

注	要向允许列表添加新属性，管理员需要创建使用该属性的新分析器条件和策略。该新属性将自动添加到已存储和复制属性的允许列表。