Q:您好,我想问一个关于ISE许可的问题,最近ISE的许可发生的更新,老版本的tacacs许可停止出售,现在使用L-ISE-TACACS-ND =许可,那么这个许可对于ISE2.3及以前的版本有什么限制吗,是否能够使用呢? A:L-ISE-TACACS-ND =只是license这个产品的PID,应用到ISE设备上需要用PAK到官网申请license文件(也可以开license case)。而license文件并没有版本号的区别。 Q:您好,我看到在ISE的版本中2.0、2.1、2.3都即将停止服务,那么想问一下2.2是否所有停止服务的计划 A:暂时没有看到ISE 2.2 EoL的通知。如果BU有相关计划,会公布在思科官网上。https://www.cisco.com/c/en/us/products/security/identity-services-engine/eos-eol-notice-listing.html Q:您好,我对证书这块一直有疑惑,在多台ISE组成的集群中时需要导入证书,那么在有证书服务器的情况下,admin Primary我知道需要导入根证书到trust store,以及生成请求证书并绑定,那么其他节点只安装根证书就行吗,还要申请和绑定证书吗? A:跟primary一样,需要申请相关证书,只有跟证书是不够的 Q:您好,对于上一个证书问题,节点之间不需要相互倒证书了吗? A:不需要 Q:在ISE2.4以后tacacs的许可是按照PSN节点数量购买,假如在一个分布式部署的集群中有4个PSN,但是我只购买2个许可,并且在角色分配的过程中对两个节点进行开启PSN的tacacs+功能,是否可行呢? A:可以的。文档中是这么描述的:A Base or Mobility license is required to install the Device Administration license. The number of Device Administration licenses must be equal to the number of device administration nodes in a deployment.
【问题四】
Q:请教下专家,ISE使用通配符证书,有什么限制,现在发现EAP认证的时候,通配符的证书windows默认的客户端不认。 A:并没有特殊限制。如果客户端不能识别,建议您检查以下几点: 1. 客户端上是否有完整的证书链,既root CA和所有intermediate CA的证书都存在。 2. ISE的域名是否和通配符证书中的CN一致。比如通配符证书的CN是*.cisco.com,ISE的主机名必须是ise.cisco.com。 3.如果前两项都没有问题,看一下其他类型的客户端是否可以接受这个证书。如果只是windows有问题的话,您需要看一下windows系统本身是否对证书有要求,比如加密方式,key长度等。 Q:感谢回复,看了下好像就是windows native supplicant不支持通配符,MacOS的就可以,EAP-TLS的认证我只只能把validate server certificate 选项去了,不验证ISE的证书。就想和您确认下这是不是和ISE没关系,就是windows的支持问题 A:ISE只是展示证书给客户端,客户端自己判断是否trust。如果客户端对证书有特殊需求,可以在申请证书的时候进行相应的设置,比如我之前提到的加密算法,key长度等。如果windows不能支持通配符证书,那就如您所说,可以取消validate server certificate。