ISE 认证方式

ktadmin · ‎08-11-2014

我们公司计划上马ISE,但是我们有几个问题不能确定,所以在这里咨询一下专家的意见.
我们的公司的网络环境如下:
1. 核心交换: 4500X
2.汇聚交换: 3850
3.接入交换: 2960s
4.WLC: 5510
5.AP: 2600
6. 域环境
账户权限:
我们集团有统一的域环境,我们公司只有一个OU的管理权限. 而且本地有一个DC,但是没有任何权限访问该DC. DC 上已经有DNS,NTP服务.我们自己搭建了一个APP服务器,上面有我们DHCP 服务器.
我们想实现的目标是:
1. 所有未经许可的设备都被拒绝访问网络
2. 验证方式: 1)公司雇员通过域账户验证 2)外带设备通过MAC验证
我的问题:
1) 关于ISE 与域结合方面,我们提供一个什么权限的域账户? 请不要回复我说是域管理员,因为这个管理员权限是不可能拿到的.
2) 上面的验证过程中,我们是否需要搭建 CA 证书服务器?
非常感觉大家的帮助.

yyc25160760 · ‎08-11-2014

如果域内采用证书认证，需要CA 证书服务器：如只需要域账户验证，不需要CA证书服务器。权限问题留给大神来解答，:lol

liyzhao · ‎08-12-2014

关于AD账号的权限，ISE 1.2的user guide是这样写的：
The Active Directory username that you provide when joining to an Active Directory domain should be predefined in Active Directory and must have one of the following permissions:
– Add the workstation to the domain to which you are trying to connect.
– On the computer where the Cisco ISE account was created, establish permissions for creating or deleting computer objects before joining Cisco ISE to the domain.
– Permissions for searching users and groups that are required for authentication.
After you join Cisco ISE to the Active Directory domain, you will still need these permissions to:
– Join any secondary Cisco ISE servers to this domain
– Back up or restore data
– Upgrade Cisco ISE to a higher version, if the upgrade process involves a backup and restore
user guide：
http://www.cisco.com/c/en/us/td/docs/security/ise/1-2/user_guide/ise_user_guide/ise_man_id_stores.html#pgfId-1317829

ktadmin · ‎09-08-2014

liyzhao 发表于 2014-8-12 21:30
关于AD账号的权限，ISE 1.2的user guide是这样写的：
The Active Directory username that you provide ...

谢谢,这个我也找到过,可惜全部是英文的,阅读起来难度系数比较高哈.

ktadmin · ‎09-08-2014

yyc25160760 发表于 2014-8-11 16:08
如果域内采用证书认证，需要CA 证书服务器：如只需要域账户验证，不需要CA证书服务器。权限问题留给大神来解 ...

谢谢~!我们只需要用户验证就OK了,不需要证书验证.