配置在ISE21的EasyConnect-Cisco.PDF

目录 简介 先决条件 要求 使用的组件 背景信息 EasyConnect功能信息 EasyConnect进程流 EasyConnect功能限制 配置 配置活动目录 配置ISE 加入ISE 2.1对活动目录 配置EasyConnect 配置标识映射 配置交换机 验证 交换机 身份服务引擎 MS活动目录 故障排除 在ISE的调试 典型的问题 问题1.活动目录不显示事件4768 问题2。不能连接到从标识映射的AD 问题3.安全访问规则没有被触发 简介 本文描述如何配置EasyConnect验证用身份服务引擎(ISE) 2.1。ISE使用Microsoft Active Directory (AD)，外部标识存储存储资源例如用户、机器、组和属性。   先决条件 要求 本文假设，有在交换机、AD、ISE和Windows 7工作站之间的全双工IP连通性。ISE服务器被引导。 使用的组件 本文档中的信息基于以下软件和硬件版本： 思科身份服务引擎2.1 ® Cisco 3750X交换机用IOS 软件版本15.0(1)SE2 MS Windows服务器2008个R2 Microsoft Windows 7工作站 背景信息 EasyConnect功能信息 EasyConnect提供基于端口的验证类似于802.1X，但是更加容易实现。EasyConnect得知从活动目 录和提供会话跟踪的验证活动网络会话的。会话目录通知可以发布与PxGrid。 EasyConnect和802.1x在相同端口可以配置，但是您必须有每服务的一项不同的ISE策略。 高性能的模式支持EasyConnect。推荐投入WMI的PSN。最佳实践是有两个PSN ？一个是活跃的 ，并且第二在待机。 所有PSN接收从DC的数据，但是仅一个设置，当主控并且寄事件给MnT。PSN选择活动一个和在故 障的情况下失败自动地处理事例促进待机。选择PSN进程如主要的由PassievID管理服务透明。 EasyConnect进程流 交换机为MAB配置，发送认证请求对PSN。与有限访问的PSN回复，允许用户验证与活动目录。验 证客户端的PSN转发关于MAB验证、RADIUS认为的开始和临时终止的信息对MNT。主要的PSN (这也许不是验证的PSN。这是选择的PSN和主要的由PassiveId管理服务)寄WMI验证事件给MnT。 一旦所有数据在会话目录收集并且合并由MnT， MnT代理对转发CoA给纳季并且复评授权的用户的 验证PSN的CoA请求。 EasyConnect功能限制 EasyConnect不可能与CWA或BYOD用例一起使用。 支持仅Cisco设备。 终端不支持注销事件。 配置 配置活动目录 为了配置AD支持被动身份服务，参考此链路： 活动目录需求支持被动身份服务 权限不同的，当AD用户是域管理员组时的一部分，并且，如果AD用户不是部分fo域管理员组。 配置ISE 加入ISE 2.1对活动目录 1. 导航对Administration 身份管理外部标识存储活动目录Add 。提供加入点名称 ，活动目录域 并且单击提交。 2. 当提示加入所有ISE节点到此活动目录域，请点击是。 3. 提供AD用户名， 并且密码 ，点击OK键。 要求的AD帐户在ISE的域访问的应该有这些之一： 添加工作站在对应的域的域用户右边。 创建计算机对象或删除计算机在ISE计算机帐户在加入对域的ISE计算机前创建的对应的计算机 容器的对象权限。 提示 ：如果一个错误的密码使用该帐户，思科推荐禁用ISE帐户的中断策略和配置AD基础设施 发送警报到admin。当输入错误的密码时， ISE不创建或修改其计算机帐户，当是必要的时并 且可能拒绝所有认证。 4. 请查看操作状态 ， Status节点请如果出现如完成 ，请点击Close。 5. AD状态应该是可操作的。 6. 导航对Groups Add选择从Directory的组检索组。选择授权策略能将参考的需要的AD组的复选 框。 注意 ：用户hargadmin是域用户AD组的成员。在reassesment做后，域用户会员用于授权情况 。  7. 点击“Save”救被检索的AD组。 配置EasyConnect 1. 启用在您的策略服务器的标识映射。导航对Administration 部署，选择节点和在一般设置下， enable (event)