伊势 2.3-什么's New?

在这个漫长的过期文章中,我将介绍ISE的最新版本:2.3。 我计划在一两个月前写这篇文章,但是忙于工作和其他工作,所以我现在要赶上一点。我想在下一个ISE版本发布之前在ISE 2.3上发布一些博客文章。 

如果有人阅读了ISE 2.3的发行说明,他们会注意到这里没有大量的新功能,但是我将暂时介绍这些功能。但是,对UI进行了许多调整和修复,对各种问题的修正已使我的经验相当稳定。第一个补丁甚至还没有发布,但是我确实有几个客户正在生产中运行它,到目前为止,他们对此非常满意。 

因此,让我们继续进行下去,并介绍ISE 2.3的新功能:

  • Enhanced 政策 Sets -我在之前的博客文章中对此进行了详细介绍 这里 所以我不会再讨论了。现在,我对新政策感到非常满意,因为我有机会与他们合作。

 

  • 只读管理员帐户 -这似乎是一个很小的变化,但实际上早就该了。该角色使用户能够查看ISE UI中的所有内容,但完全不做任何更改。

为了配置此角色,您可以在以下位置创建本地帐户 行政>System>Admin Access>Administrators>Admin Users 在创建本地帐户期间,您需要选中 只读

或者,您可以将外部用户组(例如Active Directory组成员身份或内部用户组)与下面的新“只读管理策略”相关联 行政>System>Admin Access>Authorization>Permissions>Policy

 

  • 导出报告摘要 -这是一个很小的功能,但它使用户能够查看最近导出的报告的详细信息,其中包括有关报告名称的详细信息,导出该报告的人(是否为计划的报告),何时触发,何时存储它已发送给等等。管理员可以取消所有正在进行的报告或从此处排队的报告。要查看导出摘要,请导航至 运作方式>Reports>Export Summary

 

  • 社交登录 -这是一项新功能,允许使用社交媒体凭据登录以访问访客。这样可以加快访客登录的速度,并且注册是可选的。它还增加了一些很棒的营销选择。  要配置社交媒体登录,请导航至 行政>Identity Management>外部身份来源>Social Login 并在那里开始配置。

社交媒体登录使用OAuth,这是一个开放的标准,用于Internet用户的访问委派,以授予网站或应用程序访问其他站点上的信息的权限,而无需共享密码。在此版本的ISE中,它仅与Facebook一起使用,但OAuth与Google,Microsoft,Twitter等一起使用,因此如果在下一版本中对其进行扩展,我不会感到惊讶。 

访客使用社交媒体登录时可以使用的一些不同选项包括:

  • 无需注册-这是您单击“使用Facebook登录”的位置,它允许用户使用其Facebook凭据登录
  • 使用注册-他们仍在使用Facebook凭据登录的地方,但是他们必须填写注册表格以进行ISE跟踪。详细信息可能包括诸如全名,公司,电话号码,他们要访问的人等信息。Theyr'e仍然不会像其他访客类型一样具有常规的用户名/密码,但它使您能够收集更多信息关于客人比他们的社交媒体信息
  • 注册和赞助商批准-与上述注册类似,但不允许立即访问,而是需要赞助商批准访问。 

如果该用户不再是Guest 终点组的一部分,则在允许该用户访问后会进行重新身份验证;如果其来宾帐户已过期或已被手动从该组中删除,则可能会发生这种情况。

为了配置社交媒体登录,您需要执行以下操作:

1.在Facebook上创建一个Facebook应用程序。有关操作方法的说明,请单击 这里。确保将您的应用公开。

2.使用新创建的应用程序ID在ISE中的“外部身份源”下创建Facebook社交登录名(如上图所示)。 

 

3.在“登录页面设置”的访客门户配置下,选中“ 允许社交登录 并选择新创建的Facebook外部身份来源。

4.(可选)在门户网站上的“注册”表单设置下,如果您选择使用注册,则选择要在注册时要求的任何详细信息。不过请确保不要选中用户名。 

 

5.确保将Facebook CA导入ISE中的Trusted Certificate存储区,在 行政>System>Certificates>证书管理>Trusted 证明书

6.在Facebook应用程序网站上,更新您的URI列表。

 

7.一台无线控制器,更新您的ACL以进行Web重定向,以允许Facebook的公共IP范围为31.13.0.0/16。 
 

  • 伊势升级准备工具(URT) -在早期版本的ISE中,您可能遇到的最大痛苦是升级期间的数据库损坏和gemlin问题。 伊势的创建者决定从FTD家伙的书中摘下一页,并添加升级准备工具,以在升级之前检查隐藏的数据库gremlins,以便您无需停机就可以解决它们。可以从Cisco.com上的ISE下载页面下载URT工具。 这里

URT可以在辅助管理节点上运行,而无需停机。您可能希望将其转移到ISE设备,然后使用以下命令运行它:
应用程序安装 <URT-bundle-name> 磁碟

URT工具将运行,并告诉您是否有任何未解决的问题。在下面,您可以看到通过URT工具通过和失败的示例:

  • 姿势- 使用ISE 2.3,有一些功能和更好的视觉效果已添加到姿势中。 

改进的应用程序可见性-增强功能之一是“上下文可见性”下的新屏幕,可高级别显示应用程序。如果您还记得ISE 2.2,那只是合规性下的一个饼图,但是现在您实际上可以拥有网络上所有应用程序的菜单,并深入了解哪些端点具有哪些应用程序 

硬件可见性-ISE现在将在端点上列出硬件,包括CPU使用率(%),内核数,处理器数量,内存,内存使用率(%),HD大小,HD可用空间,HD使用率(%),处理器名称,BIO制造商,BIO序列号,连接的设备等。可以在以下位置查看库存 上下文可见性>Endpoints>Hardware 如下所示,您可以对上述任何一项进行过滤搜索。

临时代理-替代了过时的NAC代理,是AnyConnect姿势的替代方案。连接期间它将运行一次,然后将其卸载。它不需要管理员权限即可使用,并且提供与AnyConnect相同的丰富状态检查,但仅在初始连接时提供信息,而不是定期检查。还有一些检查表明AnyConnect无法做到:

  • MAC: 系统 Daemon check
  • MAC:守护程序或用户代理检查
  • 补丁管理最新检查
  • 启用补丁程序管理检查
  • 磁盘加密检查

伊势的创建者还添加了一些默认的“姿势”条件,这些条件默认情况下处于禁用状态,但使大多数客户想要的常见姿势条件更易于打开:

 

  • ACS奇偶校验- 通过ISE的最新更新,您现在可以使用ACS迁移工具将配置从ACS 4.2迁移到ISE上。其他新增功能包括:
    • IPv6 TACACS支持:
      • 网络设备
      • TACACS认证
      • TACACS 授权书
      • TACACS会计
      • 连接方式
      • 实时日志和报告
      • 代理(AAA,本地计费,远程)
    • PSN群集之间的MAR缓存同步
    • 网络设备和网络设备组 
      • 网络设备-支持所有八进制和排除的IP范围
      • 网络设备组-更好的可扩展性,支持10,000个网络设备组,并支持32个字符的6级层次结构
    • 报告-新报告包括:
      • 验证摘要
      • 活跃期
      • 失败原因的前N个身份验证报告
      • 网络设备的前N个身份验证报告
      • 用户的前N个身份验证报告
    • 用户支援
      • 缓存内部用户名/用户特定属性(仅授权)
      • 密码政策违规消息
    • 记录与管理 
      • 伊势管理员的只读ERS API 
      • Syslog消息导出
      • 计划策略导出
      • 导入/导出命令集
      • 端点属性支持:日期,IP,枚举
    • 迁移工具
      • 使用该工具,您现在可以迁移具有IPv6的网络设备,具有IPv6的外部代理,具有时间和数据的策略以及具有AND和OR的条件的策略集的支持。 

 

因此,这是ISE 2.3中更改的快速浏览。与以前版本的ISE相比,它实际上并不是很多功能上的飞跃,但是它确实增加了人们希望在可用性方面看到的许多增强功能,并修复了许多小问题。谢谢阅读!