ise关联AD域用户做无线认证登录

jinmaichen · ‎08-14-2019

无线用户的账户信息都存储在AD域里面。
本人对这块很陌生。我想问，需要在ise里面添加哪个ad group信息嘛。是手动添加，还是自动生成

ilay · ‎08-14-2019

如果需要限定某个组的话，在group中选择相应的AD group就行，如果对用户范围没有其他要求，所有ad用户都可以的话，只勾选Domain Users / Domain Computers两个就可以了。

jinmaichen · ‎08-17-2019

gengchunlin 发表于 2019-8-15 11:53
如果需要限定某个组的话，在group中选择相应的AD group就行，如果对用户范围没有其他要求，所有ad用户都可 ...

我昨天做了radius测试，发现，不配置，默认是所有ad用户都可以啊

ilay · ‎08-18-2019

jinmaichen 发表于 2019-8-18 01:51
我昨天做了radius测试，发现，不配置，默认是所有ad用户都可以啊

查了一下资料，之前的说法的确是有问题的。AD的里面的group不是用来做认证范围限定的。而是可以用作授权策略中的条件。勾选了一些group，可以在authorization policy中调用。
https://www.cisco.com/c/en/us/td/docs/security/ise/2-0/admin_guide/b_ise_admin_guide_20/b_ise_admin_guide_20_chapter_01110.html#ID496

Rockyw · ‎08-19-2019

楼主可以参考一下下面的文档
思科BYOD+ISE 无线场景配置指南
https://www.cisco.com/c/dam/global/zh_cn/products/products_netsol/wireless/pdf/byod_ise_0730.pdf

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !