取消
显示结果 
搜索替代 
您的意思是: 
cancel
3826
查看次数
2
有帮助
9
回复

ISE 认证问题

jiahao xian
Level 1
Level 1

请教各位大神,我有个ise问题想请教,

这边有ISE做了802.1x和AD域联动验证,但是客户有时想使用windows 本地管理员账户进去进行一些操作,请问怎么设置ISE或者电脑可以通过验证,又可以联网呢?

1 个已接受解答

已接受的解答

使用windows本地账号登录计算机的时候进行802.1x认证,是无论如何都需要手动输入用户名的。既然都手动了,为什么不使用域账号来登录?

如果非得使用windows本地账户,并且对应ise local账户来认证,理论可以实现设个功能,但有很多很多麻烦

从配置使用和管理角度来看:

1.每台设备使用本地账户进行验证都需要手动设置,勾选自动使用当前登录的账户进行快速认证,并且设置使用用户名认证的方式,配置量并没少,比上面还会多一步。

2.需要在ise上配置需要认证的账户名,例如userA本地账户是admin1,你在ise上创建了admin1的账户,设置的相应的密码(这里先不说ise策略设置的问题),有一天userA将admin1的密码修改了,结果认证过不去了,反馈说连不上网了,你需要问问对方干了点啥,对方说没动设置啊,一问技术细节,对方说我不太清楚,然后需要人帮忙看看pc设置,再查ise的认证记录,看fail的原因是什么。最后大概率还得是你在ise上修改一下密码,然后才能解决问题。

后面有userB, userC,userD看到也可以用本地账户联网,找到你这里来,说帮我们也配置一下吧?你怎么说?怎么处理?

有个用户userE,本地账户用的也是admin1,结果也想配置使用本地账户登录,某种情况下,你们给配置了,但是userE和userA admin1的密码并不相同,为了给userE配置,你们将admin1的密码修改了,结果userA又连接不上了,你要怎么处理?让谁用不让谁用?让谁改账号?如果要改账号为什么不一开始就限制他们使用域账号呢?

3.管理层面,每个本地账户都需要ise上手动设置用户密码,每个账户的用户名密码都会被ise的管理员知道,如何保证管理员不会拿着这些账号做一些违法的操作?员工是否同意这种操作?制度上是否允许这种操作?而且这种本地创建的账号没有严格的人员对应关系,出了问题算谁的?怎么定位?如果用域账号会有这种问题么?

用技术层面来看:

可以设置ise本地账户认证,但是单独设置authentication policy不一定好用,设置不当会影响到其他设备的认证。ise使用的是if condition,then result的模型,你需要将condition这个条件设置的无比精确,精确到只匹配这个设备,然后设置ta使用ise local身份源进行认证,一旦条件不够精确,会导致其他的用户或者设备误匹配改策略从而出现认证失败的情况。

总的来说,可以实现本地账户来认证的这个功能,但极其不推荐,无论是从管理层面还是运维配置角度,都存在很大的问题。这些问题一旦被利用或者被人深究都会出现些问题。而且极易有甩锅扯皮的事情。老老实实的用域账号登录吧,不管机器是谁的,出了问题只找这个登录的账户即可。

在原帖中查看解决方案

9 条回复9

ilay
VIP
VIP

客户有时想使用windows 本地管理员账户进去进行一些操作,请问怎么设置ISE或者电脑可以通过验证,又可以联网呢?

没理解你的意思,使用本地管理员进行一些操作?什么操作?通过验证和联网有什么关系?正常通过802.1x不就可以联网了么?

默认本来是用域的账户进行802.1x验证,然后电脑管理员使用windows的本地管理员账户登录(等于没经过域)的账户,但是又想正常使用。应该怎么操作?

有线:

确保Wired AutoConfig服务正常启动,然后修改计算机网卡设置,将连接凭据保存即可。ise无需额外调整。

在弹出的输入凭据的窗口中,账号名使用"用户名@DomainName"或者"DomainName\用户名"的格式输入。例如 ilay@test.com或test.com\ilay  (如果Netbios名称可用的话也可以用netbiosName\用户名的格式输入。例如:lTEST\ilay)

无线:

如果是无线,直接连接就行,在弹出的连接窗口按照上面的格式输入用户名密码即可

有线网卡手动保存凭据示例:

manual-dot1x.png

谢谢解答。我想再问一下,该客户端接入到交换机端口和交换机的802.1x配置都会直接丢给ISE的,如果配置这个是不是不需要域控的账号,只需要windows本地账号都能验证通过吗?

如果在ISE建立一个本地账号 策略优先级优先于域控的验证会不会能解决这个问题呢?

使用windows本地账号登录计算机的时候进行802.1x认证,是无论如何都需要手动输入用户名的。既然都手动了,为什么不使用域账号来登录?

如果非得使用windows本地账户,并且对应ise local账户来认证,理论可以实现设个功能,但有很多很多麻烦

从配置使用和管理角度来看:

1.每台设备使用本地账户进行验证都需要手动设置,勾选自动使用当前登录的账户进行快速认证,并且设置使用用户名认证的方式,配置量并没少,比上面还会多一步。

2.需要在ise上配置需要认证的账户名,例如userA本地账户是admin1,你在ise上创建了admin1的账户,设置的相应的密码(这里先不说ise策略设置的问题),有一天userA将admin1的密码修改了,结果认证过不去了,反馈说连不上网了,你需要问问对方干了点啥,对方说没动设置啊,一问技术细节,对方说我不太清楚,然后需要人帮忙看看pc设置,再查ise的认证记录,看fail的原因是什么。最后大概率还得是你在ise上修改一下密码,然后才能解决问题。

后面有userB, userC,userD看到也可以用本地账户联网,找到你这里来,说帮我们也配置一下吧?你怎么说?怎么处理?

有个用户userE,本地账户用的也是admin1,结果也想配置使用本地账户登录,某种情况下,你们给配置了,但是userE和userA admin1的密码并不相同,为了给userE配置,你们将admin1的密码修改了,结果userA又连接不上了,你要怎么处理?让谁用不让谁用?让谁改账号?如果要改账号为什么不一开始就限制他们使用域账号呢?

3.管理层面,每个本地账户都需要ise上手动设置用户密码,每个账户的用户名密码都会被ise的管理员知道,如何保证管理员不会拿着这些账号做一些违法的操作?员工是否同意这种操作?制度上是否允许这种操作?而且这种本地创建的账号没有严格的人员对应关系,出了问题算谁的?怎么定位?如果用域账号会有这种问题么?

用技术层面来看:

可以设置ise本地账户认证,但是单独设置authentication policy不一定好用,设置不当会影响到其他设备的认证。ise使用的是if condition,then result的模型,你需要将condition这个条件设置的无比精确,精确到只匹配这个设备,然后设置ta使用ise local身份源进行认证,一旦条件不够精确,会导致其他的用户或者设备误匹配改策略从而出现认证失败的情况。

总的来说,可以实现本地账户来认证的这个功能,但极其不推荐,无论是从管理层面还是运维配置角度,都存在很大的问题。这些问题一旦被利用或者被人深究都会出现些问题。而且极易有甩锅扯皮的事情。老老实实的用域账号登录吧,不管机器是谁的,出了问题只找这个登录的账户即可。

非常感谢大神的答复,我们最近有ise的项目,所以客户有很多考虑,好像客户说有些电脑不加域,但是又要验证通过,使用本地账户。可能只能选择ise本地账户设置吧。以后有ise问题还需要大神帮忙一下,谢谢,

使用windows本地账户没问题,连接网络的时候提供有效的域账户就可以了。加域只是在某种程度上会简化一些配置而已,并无太大区别

不限制终端,只需把连接的输入域账户连接的方式做个文档出来,标准化处理就行了。

非常感谢!

cisco007
Level 1
Level 1

802.1x用AD域账户登入,但AD域有密码错误锁和有效期,一旦用户改了密码,手机等没及时改密码就会出现一直用错误尝试连接,导致账户被锁,大神有什么方法解决?

快捷链接