Набор политик аутентификации Cisco ISE PEAP в TEAP
-
Привет, команда! Мы хотим перейти с аутентификации PEAP на аутентификацию TEAP для пользователей беспроводной сети, и поскольку мы внедряем ее поэтапно, по отделу за отделом, я хочу, чтобы обе политики были активны. Например, в понедельник я начну внедрение в отделах ИТ и HR, переходя с PEAP на TEAP. В разделе «Политика аутентификации» набора политик я использовал
«Доступ к сети — EAP-туннель равен TEAP
», но эта политика не срабатывает, когда я помещаю TEAP на второе место. Когда я помещаю ее на первое место, политика PEAP перестает срабатывать, даже после того, как я попробовал изменить порядок. В чем может быть причина? Спасибо, -
Привет всем, Я только что объединил политики TEAP и PEAP, а также условия и политику аутентификации, однако в правиле Authrz я использую атрибут «Network Access:EapTunnel EQUALS PEAP» для PEAP и новую политику Autz в рамках той же политики «Network Access:EapTunnel EQUALS TEAP».
Спасибо, -
@henokk60,
пожалуйста, предоставьте скриншот набора ваших политик и политики аутентификации, а также журналы в режиме реального времени. -
Если правило TEAP, расположенное вторым по порядку, не срабатывает, это может означать, что клиенты-запрашивающие устройства не настроены должным образом для TEAP. Однако я запутался, потому что вы упомянули, что если правило TEAP расположено выше правила PEAP, оно не срабатывает. Это означает, что клиенты настроены должным образом для TEAP. Я бы решил эту проблему, оставив условия аутентификации без указания внешнего или внутреннего метода EAP, просто оставив их с wired_802.1x и wireless_802.1x, а затем указав условия цепочки EAP в правилах авторизации, чтобы они соответствовали трафику TEAP. Или вы можете создать отдельный набор политик только для TEAP. В этом случае вам нужно будет использовать отдельный профиль разрешенных протоколов, в котором будет включен только TEAP. Таким образом, специальный набор политик будет соответствовать только трафику TEAP.
-
@Aref Alsouqi
Я создал отдельное правило только для TEAP с отдельным
разрешенным профилем протокола TEAP, включенным в нем, и внутренними методами EAP-TLS. -
Если вы настроили отдельный набор политик и включили только TEAP в разрешенных протоколах, то вам не нужно указывать туннель TEAP EAP в правиле аутентификации. Посмотрите, пожалуйста, этот документ. Вы так и сделали? https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/216510-eap-chaining-with-teap.html#toc-hId--1057623478
-
Набор политик для
условий
TEAP
Радиус: Called-Station-ID: «SSID» И
Wirless_802.1x
Разрешенный протокол Политика
аутентификации
TEAP Wireless_802.1x И
NetworkAccess:EAPTunnel
Политика авторизации
TEAP AD:ExternalGroups: равен IT,Sales,Finance
Network Access:EapChainingResult равен User and machine both succeeded
Session:PostureStatus равен Complaint, -
Привет. Какие параметры вы установили для политик аутентификации — см. ниже ![ise auth options.png] hth Энди
-
Привет, Энди, Обычно мы устанавливаем опцию «Если пользователь не найден», чтобы гостевые конечные точки могли «пройти» аутентификацию, но я не думаю, что в данном случае это уместно.
-
Привет, команда!
Есть ли возможность объединить политики TEAP и PEAP, чтобы они не дублировали друг друга? -
Если вы разделите политики с правильными условиями, они не будут пересекаться. Однако, если вы хотите объединить их все в одну, вам нужно будет создать несколько условий, используя оператор «или» там, где это применимо.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти