伊势 2.0初始配置-启用服务和身份映射/ PassiveID配置

在本文中,我们将在此博客文章中为ISE节点启用服务,并配置ISE和Active Directory之间的身份映射服务(在ISE 2.1中称为PassiveID)。身份映射服务使ISE能够监视由域控制器而非ISE认证的用户。此功能对于EasyConnect配置非常有用,我将在以后的文章中进行介绍。它可以通过使用Microsoft WMI界面连接到Active Directory以及通过查询Windows事件消息中的日志来收集此信息。 

伊势 2.0初始配置-创建证书认证配置文件

在下一篇文章中,我们是 将创建证书身份验证配置文件。对于我们将在以后的帖子中创建的身份验证方法,此配置文件是必需的。由于我们将在策略中使用基于EAP证书的身份验证方法,因此ISE会将从客户端收到的证书与服务器中的证书进行比较,以验证用户或计算机的真实性。这被认为比传统的用户名和密码方法安全得多。 

伊势 2.0初始配置-将证书添加到ISE

证书对于身份服务引擎的操作至关重要。 伊势 用于证书的一些用途包括:dot1x身份验证,Pxgrid通信,添加新的ISE节点并与之通信,BYOD等。除非您在网络上仅使用Guest门户和基本配置文件使用单个ISE节点,否则,这将是您想要尽可能多地关注的帖子。

伊势 2.0初始配置-引导并加入AD域

现在我们已经配置了Active Directory,我们将开始设置ISE。在本文中,我将逐步介绍ISE的基本自举,以及如何将其加入Active Directory域。我在实验室中使用的是ISE 2.0,这是本文发布时的最新版本的ISE,但是自举和加入Active Directory域的过程与以前的版本保持不变。 

服务器 2012配置-组策略创建

这是我们将创建组策略以推送给客户的地方。通过GPO将设置下推给用户的想法是强制执行安全性,但也尝试使设置对用户尽可能透明。诸如推送dot1x SSID信息以及使用户在有效范围内时使用户能够自动连接到SSID之类的小事情对用户体验来说是很长的路要走。同样,从用户角度来看,让用户自动注册用户证书并自动配置其NIC卡设置可以提高ISE的透明度。理想情况下,用户应该永远不知道ISE在这里对他们的公司计算机进行身份验证和授权,并且充当他们与网络其余部分之间的网守,除非某种程度上违反了政策。 

服务器 2012配置-证书模板

证书模板将在我们实验室的ISE和Pxgrid集成中扮演重要角色,并且很可能在ISE的任何生产部署中发挥重要作用。尽管最新版本的ISE确实支持将ISE用作证书颁发机构,但我见过的大多数ISE实现都利用了Active Directory证书颁发机构。在以后的博客文章中,我可能最终将改为使用ISE CA进行许多相同的步骤,但我宁愿先介绍大多数实现中将使用的内容。