Tweet
Hình 2-26, bạn sẽ thấy tab Cài đặt nâng cao có một số cài đặt thú vị, chẳng hạn như các cài đặt liên quan đến xác thực máy, hạn chế truy cập máy (MAR) và viết lại nhận dạng.
Kích hoạt xác thực máy (Enable Machine Authentication): Điểm cuối của Windows có thể tham gia Active Directory, tạo tài khoản máy tính. Bạn đọc tất cả về điều này trong bối cảnh ISE tham gia tên miền và tạo một tài khoản máy tính cho chính ISE. Những máy tính Windows đó phải có khả năng xác thực và có quyền truy cập vào mạng, để đảm bảo liên lạc đúng cách với hệ thống quản lý của họ: AD. Cài đặt Bật xác thực máy được bật theo mặc định, cho phép các xác thực đó xảy ra và các điểm cuối của Windows để có quyền truy cập mạng
sử dụng thông tin máy tính của họ. Để tìm hiểu thêm về tài khoản máy tính, hãy xem blog Aaron Woland Network World:
https://www.networkworld.com/article...ntication.html.
Cho phép hạn chế truy cập máy (Enable Machine Access Restrictions): Thường được gọi là MAR, tính năng này được sử dụng để kết hợp hai xác thực với nhau để cấp phép vào mạng. Điều kiện ủy quyền trong chính sách được đặt tên là WasMachineAuthenticated và nó cho phép quản trị viên đảm bảo rằng máy tính và người dùng đều được ủy quyền sử dụng mạng và đó không phải là (ví dụ) người dùng được ủy quyền đang cố gắng truy cập mạng với máy tính ở nhà của họ. MAR hoạt động bằng cách theo dõi địa chỉ MAC của điểm cuối đã xác thực máy trong bộ đệm. Khi ISE đang thực hiện xác thực người dùng và quy tắc ủy quyền được cấu hình có cài đặt điều kiện True WasMachineAuthenticated là True, thì ISE so sánh địa chỉ MAC từ yêu cầu xác thực người dùng đến với danh sách địa chỉ MAC trong bộ đệm. Một trong những hạn chế ban đầu của bộ đệm MAR là nó chỉ có trong bộ nhớ và do đó đã bị xóa khi khởi động lại PSN. Tính bền vững của bộ đệm MAR đã được thêm vào ISE 2.1 trong đó bộ đệm cũng được ghi vào đĩa và do đó tồn tại khi khởi động lại. Một hạn chế thứ hai đối với việc triển khai MAR ban đầu là bộ đệm được cục bộ cho từng PSN, và do đó, nếu xác thực máy tính và xác thực người dùng được gửi đến các PSN khác nhau, MAR không hiệu quả. ISE 2.3 đã thêm một tính năng được gọi là phân phối bộ đệm MAR sao chép bộ đệm vào các PSN khác. Xin lưu ý rằng việc sao chép được giới hạn ở các PSN là thành viên của cùng một nhóm nút.
Hình 2-27 hiển thị màn hình tạo nhóm nút trong Administration > System > Deployment, nơi bạn có thể thấy các cài đặt phân phối bộ đệm MAR.
Để tìm hiểu thêm về MAR và việc sử dụng nhiều thông tin đăng nhập để truy cập mạng, hãy xem blog của Aaron Woland: https://www.networkworld.com/article...authentication .html.
Hình 2-26 Cài đặt nâng cao để tích hợp AD
Kích hoạt xác thực máy (Enable Machine Authentication): Điểm cuối của Windows có thể tham gia Active Directory, tạo tài khoản máy tính. Bạn đọc tất cả về điều này trong bối cảnh ISE tham gia tên miền và tạo một tài khoản máy tính cho chính ISE. Những máy tính Windows đó phải có khả năng xác thực và có quyền truy cập vào mạng, để đảm bảo liên lạc đúng cách với hệ thống quản lý của họ: AD. Cài đặt Bật xác thực máy được bật theo mặc định, cho phép các xác thực đó xảy ra và các điểm cuối của Windows để có quyền truy cập mạng
sử dụng thông tin máy tính của họ. Để tìm hiểu thêm về tài khoản máy tính, hãy xem blog Aaron Woland Network World:
https://www.networkworld.com/article...ntication.html.
Cho phép hạn chế truy cập máy (Enable Machine Access Restrictions): Thường được gọi là MAR, tính năng này được sử dụng để kết hợp hai xác thực với nhau để cấp phép vào mạng. Điều kiện ủy quyền trong chính sách được đặt tên là WasMachineAuthenticated và nó cho phép quản trị viên đảm bảo rằng máy tính và người dùng đều được ủy quyền sử dụng mạng và đó không phải là (ví dụ) người dùng được ủy quyền đang cố gắng truy cập mạng với máy tính ở nhà của họ. MAR hoạt động bằng cách theo dõi địa chỉ MAC của điểm cuối đã xác thực máy trong bộ đệm. Khi ISE đang thực hiện xác thực người dùng và quy tắc ủy quyền được cấu hình có cài đặt điều kiện True WasMachineAuthenticated là True, thì ISE so sánh địa chỉ MAC từ yêu cầu xác thực người dùng đến với danh sách địa chỉ MAC trong bộ đệm. Một trong những hạn chế ban đầu của bộ đệm MAR là nó chỉ có trong bộ nhớ và do đó đã bị xóa khi khởi động lại PSN. Tính bền vững của bộ đệm MAR đã được thêm vào ISE 2.1 trong đó bộ đệm cũng được ghi vào đĩa và do đó tồn tại khi khởi động lại. Một hạn chế thứ hai đối với việc triển khai MAR ban đầu là bộ đệm được cục bộ cho từng PSN, và do đó, nếu xác thực máy tính và xác thực người dùng được gửi đến các PSN khác nhau, MAR không hiệu quả. ISE 2.3 đã thêm một tính năng được gọi là phân phối bộ đệm MAR sao chép bộ đệm vào các PSN khác. Xin lưu ý rằng việc sao chép được giới hạn ở các PSN là thành viên của cùng một nhóm nút.
Hình 2-27 hiển thị màn hình tạo nhóm nút trong Administration > System > Deployment, nơi bạn có thể thấy các cài đặt phân phối bộ đệm MAR.
Hình 2-27 Phân phối bộ đệm MAR
Để tìm hiểu thêm về MAR và việc sử dụng nhiều thông tin đăng nhập để truy cập mạng, hãy xem blog của Aaron Woland: https://www.networkworld.com/article...authentication .html.
- Identity Resolution: Trong quá trình xác thực, thông tin xác thực người dùng có thể được gửi theo định dạng phổ biến như DOMAIN \ USER, nơi ISE có thể dễ dàng xác định tên miền nào trong số nhiều tên miền cần truy vấn để xác thực thông tin đăng nhập của người dùng. Tuy nhiên, đôi khi danh tính có thể được gửi dưới dạng NGƯỜI DÙNG và do đó ISE cần tìm ra tên miền mà người dùng thuộc về. Các lựa chọn cho hành vi khi thông tin đăng nhập không có tên miền là tuân theo danh sách trắng của tên miền (mặc định), bỏ yêu cầu hoặc tìm kiếm tất cả tên miền.
- Identity Rewrite: Đôi khi cần phải sửa đổi thông tin xác thực đến để xác thực đối với cửa hàng nhận dạng chính xác. Realm stripping là một ví dụ về khi loại chức năng viết lại này là bắt buộc và bạn có thể đọc về realm stripping trên blog của Aaron Woland: https://www.networkworld.com/article/2226225/infr Hạ tầng-quản lý / aprimer-on- support -for-realm-stripping.html.
- PassiveID settings: Có một vài cài đặt có thể được định cấu hình cho ID passive. Một trong những cài đặt quan trọng nhất là History Interval, quy định ISE sẽ yêu cầu thông tin từ bộ điều khiển miền bao xa. Điều này giúp đảm bảo rằng không có xác thực bị bỏ lỡ.