使用AD凭证的ISE管理门户访问配置示例

简介

本文档介绍使用Microsoft Active Directory (AD)作为外部身份库对思科身份服务引擎(ISE)管理GUI进行管理访问的配置示例。

先决条件

Cisco 建议您了解以下主题：

• 思科ISE版本1.1.x或更高版本的配置
• Microsoft AD

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科ISE版本1.1.x
• Windows Server 2008版本2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

使用此部分可以配置使用Microsoft AD作为外部身份库对思科ISE管理GUI的管理访问。

将ISE加入AD

1. 导航到管理>身份管理>外部身份源> Active Directory。
2. 输入AD域名和身份库名称，然后单击Join。
3. 输入可以添加和更改计算机对象的AD帐户的凭据，然后单击Save Configuration。
   
   

    

选择目录组

1. 导航到Administration > Identity Management > External Identity Sources > Active Directory > Groups > Add > Select groups form Directory。 
2. 导入至少一个管理员所属的AD组。
   
   

    

启用AD的管理访问

要为AD启用基于密码的身份验证，请完成以下步骤：

1. 导航到管理>系统>管理员访问权限>身份验证。
2. 从Authentication Method选项卡中选择Password Based选项。
3. 从Identity Source下拉菜单中选择AD。
4. 点击Save Changes。
   
   

   

配置管理组到AD组的映射

定义Cisco ISE管理员组并将其映射到AD组。这样，授权就可以根据AD中的组成员身份确定管理员的基于角色的访问控制(RBAC)权限。 

1. 导航到管理>系统>管理员访问权限>管理员>管理员组。
2. 点击表报头中的Add以查看new Admin Group configuration窗格。
3. 输入新管理员组的名称。
4. 在Type字段中，选中External 复选框。
5. 从External Groups 下拉菜单中，选择您希望此管理员组映射到的AD组，如Select Directory Groups部分中所定义。
6. 点击Save Changes。
   
   

    

设置管理员组的RBAC权限

完成以下步骤，将RBAC权限分配给在上一部分中创建的管理员组：

1. 导航到管理>System >管理员访问权限>授权>策略。
2. 从右侧的操作下拉菜单中，选择在下面插入新策略以添加新策略。
3. 创建一个名为ISE_administration_AD的新规则，将其与“启用AD的管理访问”部分中定义的管理员组进行映射，然后为其分配权限。

   注意：在本示例中，将分配名为超级管理员的管理员组，等同于标准管理员帐户。

4. 单击Save Changes，GUI的右下角将显示对已保存更改的确认。
   
   

    

使用AD凭证访问ISE

要使用AD凭证访问ISE，请完成以下步骤：

1. 从管理GUI中注销。
2. 从Identity Source下拉菜单中选择AD1。
3. 输入AD数据库中的用户名和密码，然后登录。
   
   

   

注：如果AD无法访问，或者AD中不存在所使用的帐户凭证，则ISE会默认使用内部用户存储。如果使用internal store，同时将AD配置为用于管理访问，这样有助于快速登录。

验证

为了确认您的配置正常工作，请验证ISE GUI右上角的身份验证用户名。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 思科身份服务引擎用户指南，版本1.1 -管理身份和管理员访问权限
• 技术支持和文档 - Cisco Systems