安全讨论区中的主题回复： ISE 认证问题

ISE 认证问题

jiahao xian — Tue, 09 May 2023 08:46:21 GMT

请教各位大神，我有个ise问题想请教，

这边有ISE做了802.1x和AD域联动验证，但是客户有时想使用windows 本地管理员账户进去进行一些操作，请问怎么设置ISE或者电脑可以通过验证，又可以联网呢？

回复： ISE 认证问题

ilay — Wed, 10 May 2023 01:52:33 GMT

客户有时想使用windows 本地管理员账户进去进行一些操作，请问怎么设置ISE或者电脑可以通过验证，又可以联网呢？

没理解你的意思，使用本地管理员进行一些操作？什么操作？通过验证和联网有什么关系？正常通过802.1x不就可以联网了么？

回复： ISE 认证问题

jiahao xian — Wed, 10 May 2023 02:49:39 GMT

默认本来是用域的账户进行802.1x验证，然后电脑管理员使用windows的本地管理员账户登录（等于没经过域）的账户，但是又想正常使用。应该怎么操作？

回复： ISE 认证问题

ilay — Wed, 10 May 2023 03:15:59 GMT

有线：

确保Wired AutoConfig服务正常启动，然后修改计算机网卡设置，将连接凭据保存即可。ise无需额外调整。

在弹出的输入凭据的窗口中，账号名使用"用户名@DomainName"或者"DomainName\用户名"的格式输入。例如 ilay@test.com或test.com\ilay (如果Netbios名称可用的话也可以用netbiosName\用户名的格式输入。例如：lTEST\ilay）

无线：

如果是无线，直接连接就行，在弹出的连接窗口按照上面的格式输入用户名密码即可

有线网卡手动保存凭据示例：

回复： ISE 认证问题

jiahao xian — Wed, 10 May 2023 17:35:12 GMT

谢谢解答。我想再问一下，该客户端接入到交换机端口和交换机的802.1x配置都会直接丢给ISE的，如果配置这个是不是不需要域控的账号，只需要windows本地账号都能验证通过吗？

如果在ISE建立一个本地账号策略优先级优先于域控的验证会不会能解决这个问题呢？

回复： ISE 认证问题

ilay — Thu, 11 May 2023 01:56:24 GMT

使用windows本地账号登录计算机的时候进行802.1x认证，是无论如何都需要手动输入用户名的。既然都手动了，为什么不使用域账号来登录？

如果非得使用windows本地账户，并且对应ise local账户来认证，理论可以实现设个功能，但有很多很多麻烦

从配置使用和管理角度来看：

1.每台设备使用本地账户进行验证都需要手动设置，勾选自动使用当前登录的账户进行快速认证，并且设置使用用户名认证的方式，配置量并没少，比上面还会多一步。

2.需要在ise上配置需要认证的账户名，例如userA本地账户是admin1，你在ise上创建了admin1的账户，设置的相应的密码（这里先不说ise策略设置的问题），有一天userA将admin1的密码修改了，结果认证过不去了，反馈说连不上网了，你需要问问对方干了点啥，对方说没动设置啊，一问技术细节，对方说我不太清楚，然后需要人帮忙看看pc设置，再查ise的认证记录，看fail的原因是什么。最后大概率还得是你在ise上修改一下密码，然后才能解决问题。

后面有userB, userC,userD看到也可以用本地账户联网，找到你这里来，说帮我们也配置一下吧？你怎么说？怎么处理？

有个用户userE，本地账户用的也是admin1，结果也想配置使用本地账户登录，某种情况下，你们给配置了，但是userE和userA admin1的密码并不相同，为了给userE配置，你们将admin1的密码修改了，结果userA又连接不上了，你要怎么处理？让谁用不让谁用？让谁改账号？如果要改账号为什么不一开始就限制他们使用域账号呢？

3.管理层面，每个本地账户都需要ise上手动设置用户密码，每个账户的用户名密码都会被ise的管理员知道，如何保证管理员不会拿着这些账号做一些违法的操作？员工是否同意这种操作？制度上是否允许这种操作？而且这种本地创建的账号没有严格的人员对应关系，出了问题算谁的？怎么定位？如果用域账号会有这种问题么？

用技术层面来看：

可以设置ise本地账户认证，但是单独设置authentication policy不一定好用，设置不当会影响到其他设备的认证。ise使用的是if condition，then result的模型，你需要将condition这个条件设置的无比精确，精确到只匹配这个设备，然后设置ta使用ise local身份源进行认证，一旦条件不够精确，会导致其他的用户或者设备误匹配改策略从而出现认证失败的情况。

总的来说，可以实现本地账户来认证的这个功能，但极其不推荐，无论是从管理层面还是运维配置角度，都存在很大的问题。这些问题一旦被利用或者被人深究都会出现些问题。而且极易有甩锅扯皮的事情。老老实实的用域账号登录吧，不管机器是谁的，出了问题只找这个登录的账户即可。

回复： ISE 认证问题

jiahao xian — Thu, 11 May 2023 02:56:50 GMT

非常感谢大神的答复，我们最近有ise的项目，所以客户有很多考虑，好像客户说有些电脑不加域，但是又要验证通过，使用本地账户。可能只能选择ise本地账户设置吧。以后有ise问题还需要大神帮忙一下，谢谢，

回复： ISE 认证问题

ilay — Thu, 11 May 2023 03:08:01 GMT

使用windows本地账户没问题，连接网络的时候提供有效的域账户就可以了。加域只是在某种程度上会简化一些配置而已，并无太大区别

不限制终端，只需把连接的输入域账户连接的方式做个文档出来，标准化处理就行了。

回复： ISE 认证问题

jiahao xian — Thu, 11 May 2023 03:22:20 GMT

非常感谢！

回复： ISE 认证问题

cisco007 — Tue, 29 Oct 2024 03:32:39 GMT

802.1x用AD域账户登入，但AD域有密码错误锁和有效期，一旦用户改了密码，手机等没及时改密码就会出现一直用错误尝试连接，导致账户被锁，大神有什么方法解决？

安全讨论区中的主题 回复： ISE 认证问题

ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

回复： ISE 认证问题

安全讨论区中的主题回复： ISE 认证问题