了解Admin访问和RBAC策略在ISE.PDF

了解Admin访问和RBAC策略在ISE 目录 简介 先决条件 要求 使用的组件 配置 验证设置 配置Admin组 配置管理员用户 配置权限 配置RBAC策略 配置Admin访问的设置  简介 本文描述在ISE的功能管理在身份服务引擎(ISE)的管理访问。 先决条件 要求 本文档中的信息根据身份服务引擎版本2.1 使用的组件 本文档中的信息基于以下软件和硬件版本： 身份服务引擎2.1 在Windows服务器2008 R2的活动目录目录服务 配置 验证设置 管理员用户需要在访问关于ISE的任何信息前验证。通过使用内部标识存储或外部标识存储，管理 员用户的标识可以verfied。真实性可以由密码或证书验证。为了配置这些设置，请导航对 Administration Admin访问验证。 身份服务引擎不准许配置命令行界面(CLI)的密码策略从CLI。图形用户界面(GUI)和CLI的密码策略 可能通过ISE GUI只配置。为了配置此，导航到Administration Admin访问验证和导航对密码策略 选项卡。 ISE有提供禁用一个非激活管理员用户。为了配置此，导航到Administration Admin访问验证和导 航对帐户禁用策略选项卡。 要管理管理访问，有对管理组、用户和多种策略的需要，规则控制和管理权限。 配置Admin组 导航给Administration Admin访问管理员配置管理员组的Admin组 。有默认情况下被创建并且不 可能删除的少量组。 一旦组创建，管理用户可以被添加到该组通过选择组，并且单击请编辑。有提供映射外部标识组对 ISE的Admin组，以便外部管理员用户获得需要的权限。为了配置此，请选择类型作为外部，当添加 用户时。 配置管理员用户 为了配置管理员用户，请导航给Administration Admin访问管理员管理员用户。 单击 Add 。 有两个选项选择从。一个一共是添加每新用户。即人一个是做网络用户，用户配置的作 为内部用户访问网络/设备，作为admin。 在选择选项以后，必须提供需要的细节，并且用户组必须选择权限和权限对用户给。 配置权限 有可以为用户组配置的两权限。 1. 菜单访问 2. 数据访问 菜单访问控制在ISE的可定位可见性。有每选项卡的两个选项，显示或者隐藏，可以配置。菜单访 问规则可以配置显示或隐藏选定选项卡。 数据访问控制能力读/访问/修改标识数据在ISE。访问权限可以为Admin组、标识组、终端组和网络 设备组仅配置。有这些实体的三个选项在可以配置的ISE。他们是全部存取，只读访问和没有访问 。数据访问规则可以配置选择每选项卡的这三个选项之一在ISE。 访问和数据访问策略，在他们可以应用到所有admin group前，菜单必须创建。有默认情况下内置的 少量策略，但是他们可能总是定制或新的可以创建。 为了配置菜单访问策略，请导航对Administration Admin访问授权权限菜单访问。 单击 Add 。在ISE的每个可定位选项在策略可以配置显示/隐藏。 为了配置数据访问策略，请导航对Administration Admin访问授权权限数据访问。 单击添加创建一项新的策略配置权限访问Admin/标识/Edpoint /network组。 配置RBAC策略 RBAC代表角色基于访问控制。(Admin group)用户属于的角色可以配置使用希望的菜单和数据访问 策略。可以有为单个角色配置的多项RBAC策略或多作用可以配置在单个策略访问菜单和数据。当 管理员用户设法进行操作，所有那些可适用的策略将被评估。最终决策将是所有策略聚合可适用为 该角色。如果有同时允许并且拒绝的contridictory规则， permit规则将改写拒绝规则。 点击操作复制/插入/删除策略。 注意 ：系统创建和默认策略不可能更新，并且默认策略不可能删除。 注意 ：多种菜单/数据访问访问权限在单个规则不可能配置。 配置Admin访问的设置  除RBAC策略之外，有可以配置对所有管理员用户是普通的少量设置。 为了配置为GUI和CLI允许的， PRE洛金和POST洛金标语最大塞申斯编号，导航对Administration Admin访问设置Access。 配置GUI和CLI能访问，导航到Administration Admin访问设置Access和导航到IP访问选项卡 IP地址的列表。 为了配置超时由于会话的非活动，请导航给Administration Admin访问设置会话 。 为了查看/无效