笔者在实际工作中测试发现,Cisco ISE针对Cisco产品AAA对接及认证、授权均正常无问题,但是非思科设备进行对接的时候就会有些问题,比如天融信设备对接的时候有严重的安全漏洞问题。测试天融信防火墙设备型号和版本如下:
当天融信防火墙设备启用
TACACS认证与Cisco ISE对接的时候,就会发现当用户名输入正确时候,输入任意密码即可登录天融信防火墙设备,由此可见是天融信防火墙一个严重的安全漏洞问题,当改用radius认证时候,则需要同时输入正确的用户名和密码,才能登录天融信防火墙设备。
总结:针对非思科的设备,建议使用radius认证与 Cisco ISE对接,当输入正确的ISE 用户名进行登录时候,建议测试下错误的密码,避免出现类似天融信防火墙产品相关的安全漏洞问题。