Tweet
Tạo điều kiện chính sách
Chúng tôi đã tạo hồ sơ ủy quyền, là kết quả cuối cùng của ủy quyền, nhưng chúng tôi vẫn chưa xác định các điều kiện chính sách sẽ xác định khi nào sẽ chỉ định các hồ sơ đó. Bạn có thể tạo chúng trong khi bạn tự tạo chính sách, nhưng tốt hơn là tạo chúng trước như các đối tượng chính sách đã xác định, điều này cũng cho phép bạn sử dụng lại các đối tượng đó trong nhiều chính sách.
Bắt đầu bằng cách điều hướng đến Work Centers > Network Access > Policy Elements > Conditions > Library Conditions. Điều này mang đến giao diện người dùng studio điều kiện, như trong Hình 2-63, đã được thêm vào ISE trong phiên bản 2.3 và cho phép tạo ra kéo và thả các điều kiện rất phức tạp. Ở phía bên trái là Thư viện các điều kiện đã được tạo bởi quản trị viên hoặc các điều kiện được cấu hình sẵn đi kèm với ISE. Bạn có thể tìm kiếm thông qua Thư viện theo tên hoặc thậm chí
lọc nó dựa trên sự phân loại các điều kiện được biểu thị bằng các biểu tượng nhỏ dễ thương của Cameron ở trên cùng (bạn có bỏ lỡ những ngày cấu hình dòng lệnh không?). Lần đầu tiên bạn nhấp vào bên phải màn hình, lớp phủ trợ giúp cho Trình chỉnh sửa sẽ được hiển thị (xem Hình 2-63).
Bây giờ chúng tôi sẽ xây dựng một điều kiện để khớp với người dùng là thành viên của nhóm Nhân viên trong Active Directory. Trong Trình chỉnh sửa, nhấp vào nút identities group thư mục hoạt động. Trong Trình chỉnh sửa, bấm vào biểu tượng nhóm định danh để lọc các từ điển, như trong Hình 2-64, và chọn AD-SECDEMO, là một thuộc tính Nhóm ngoài.
Ensure that the operator says Equals, and then select securitydemo.net/Users/Employees from the drop-down list, as shown in Figure 2-65.
Nhấp vào Lưu, lưu điều kiện dưới dạng Điều kiện Thư viện mới có tên d AD-Employees, như trong Hình 2-66 và nhấp Lưu.
Lặp lại quy trình này để tạo một điều kiện mới cho nhóm PCI và đặt tên cho điều kiện AD-PCI. Sau khi bạn tạo điều kiện đó, hãy kéo điều kiện AD-Nhân viên từ thư viện sang điều kiện s AD-PCI AND AD-Employees, như trong Hình 2-67.
Nhấp vào Lưu và đặt tên cho điều kiện ghép mới AD-Employee_PCI. Thư viện của bạn hiện có ba điều kiện mới được lưu trong đó, như trong Hình 2-68.
Trình chỉnh sửa mới này có thể mất một chút thời gian để bạn làm quen, nhưng nó chắc chắn là mạnh mẽ và khi bạn đã quen với nó, nó thực sự cho phép bạn xây dựng các điều kiện rất phức tạp và làm điều đó rất nhanh.
Chúng tôi đã tạo hồ sơ ủy quyền, là kết quả cuối cùng của ủy quyền, nhưng chúng tôi vẫn chưa xác định các điều kiện chính sách sẽ xác định khi nào sẽ chỉ định các hồ sơ đó. Bạn có thể tạo chúng trong khi bạn tự tạo chính sách, nhưng tốt hơn là tạo chúng trước như các đối tượng chính sách đã xác định, điều này cũng cho phép bạn sử dụng lại các đối tượng đó trong nhiều chính sách.
Bắt đầu bằng cách điều hướng đến Work Centers > Network Access > Policy Elements > Conditions > Library Conditions. Điều này mang đến giao diện người dùng studio điều kiện, như trong Hình 2-63, đã được thêm vào ISE trong phiên bản 2.3 và cho phép tạo ra kéo và thả các điều kiện rất phức tạp. Ở phía bên trái là Thư viện các điều kiện đã được tạo bởi quản trị viên hoặc các điều kiện được cấu hình sẵn đi kèm với ISE. Bạn có thể tìm kiếm thông qua Thư viện theo tên hoặc thậm chí
lọc nó dựa trên sự phân loại các điều kiện được biểu thị bằng các biểu tượng nhỏ dễ thương của Cameron ở trên cùng (bạn có bỏ lỡ những ngày cấu hình dòng lệnh không?). Lần đầu tiên bạn nhấp vào bên phải màn hình, lớp phủ trợ giúp cho Trình chỉnh sửa sẽ được hiển thị (xem Hình 2-63).
Bây giờ chúng tôi sẽ xây dựng một điều kiện để khớp với người dùng là thành viên của nhóm Nhân viên trong Active Directory. Trong Trình chỉnh sửa, nhấp vào nút identities group thư mục hoạt động. Trong Trình chỉnh sửa, bấm vào biểu tượng nhóm định danh để lọc các từ điển, như trong Hình 2-64, và chọn AD-SECDEMO, là một thuộc tính Nhóm ngoài.
Ensure that the operator says Equals, and then select securitydemo.net/Users/Employees from the drop-down list, as shown in Figure 2-65.
Nhấp vào Lưu, lưu điều kiện dưới dạng Điều kiện Thư viện mới có tên d AD-Employees, như trong Hình 2-66 và nhấp Lưu.
Lặp lại quy trình này để tạo một điều kiện mới cho nhóm PCI và đặt tên cho điều kiện AD-PCI. Sau khi bạn tạo điều kiện đó, hãy kéo điều kiện AD-Nhân viên từ thư viện sang điều kiện s AD-PCI AND AD-Employees, như trong Hình 2-67.
Nhấp vào Lưu và đặt tên cho điều kiện ghép mới AD-Employee_PCI. Thư viện của bạn hiện có ba điều kiện mới được lưu trong đó, như trong Hình 2-68.
Trình chỉnh sửa mới này có thể mất một chút thời gian để bạn làm quen, nhưng nó chắc chắn là mạnh mẽ và khi bạn đã quen với nó, nó thực sự cho phép bạn xây dựng các điều kiện rất phức tạp và làm điều đó rất nhanh.