伊势 2.0初始配置-引导并加入AD域

现在我们已经配置了Active Directory,我们将开始设置ISE。在本文中,我将逐步介绍ISE的基本自举,以及如何将其加入Active Directory域。我在实验室中使用的是ISE 2.0,这是本文发布时的最新版本的ISE,但是自举和加入Active Directory域的过程与以前的版本保持不变。 

服务器 2012配置-组策略创建

这是我们将创建组策略以推送给客户的地方。通过GPO将设置下推给用户的想法是强制执行安全性,但也尝试使设置对用户尽可能透明。诸如推送dot1x SSID信息以及使用户在有效范围内时使用户能够自动连接到SSID之类的小事情对用户体验来说是很长的路要走。同样,从用户角度来看,让用户自动注册用户证书并自动配置其NIC卡设置可以提高ISE的透明度。理想情况下,用户应该永远不知道ISE是否在那里对他们的公司计算机进行身份验证和授权,并充当它们与网络其余部分之间的网守,除非某种程度上违反了政策。 

服务器 2012配置-证书模板

证书模板将在我们实验室的ISE和Pxgrid集成中扮演重要角色,并且很可能在ISE的任何生产部署中发挥重要作用。尽管最新版本的ISE确实支持将ISE用作证书颁发机构,但我见过的大多数ISE实现都利用了Active Directory证书颁发机构。在以后的博客文章中,我可能最终将使用ISE CA进行许多相同的步骤,但是我宁愿先介绍大多数实现中将要使用的内容。