Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置身份验证策略标签

网络访问控制策略是一组规则和准则,用于为尝试连接到网络的设备提供安全访问。策略包含设备和用户必须满足的某些条件才能访问网络和使用网络资源。

您可以使用身份验证策略配置瞻博网络 Mist Access Assurance,使瞻博网络 Mist 管理的设备能够将客户端连接到网络或应用程序。

瞻博网络 Mist 利用“标签”作为策略匹配标准,而使用标签应用指定权限的相关策略操作。也就是说,在创建身份验证策略时,可以将标签用作:

  • 匹配标准:应用策略规则必须满足的一组匹配标准。
  • 策略允许操作:在匹配时要应用的一组操作,例如应用其他属性(VLAN、角色和基于组的策略标记)。

创建标签

您可以在以下页面上创建标签:

  • 身份验证策略
  • 身份验证策略标签

要在“身份验证策略标签”页面中创建标签,请执行以下操作:

  1. 在瞻博网络 Mist 门户的左侧菜单中,选择组织>访问权限>身份验证策略标签

    此时将显示现有标签的列表(如果有)。

  2. 在身份验证策略标签上,单击添加标签并输入以下详细信息:
    • 标注名称 - 输入标注的唯一名称。您最多可以使用 32 个字符,包括字母数字字符以及一个或多个特殊字符。
    • 标注类型 - 指定标注类型。请参阅 表 1 中的信息以选择标签类型。
    表 1:新标签的参数

    标签类型

    细节

    身份验证策略规则中的角色

    AAA 属性

    一组用户属性,用作匹配标准并帮助确定指定权限的策略操作。

    选项:

    • 作用
    • Vlan
    • 领域
    • 用户名
    • GBP 标签
    • 会话超时
    • 自定义供应商特定属性
    • 自定义标准 RADIUS 属性
    • 动态有线端口配置

    匹配标准和策略允许操作
    证书属性 身份验证期间使用的一组用户或设备证书字段。

    选项:

    • 公用名 (CN)
    • 主题
    • 序列号
    • 发行
    • 使用者备用名称 (SAN)

    匹配标准

    客户名单

    由通配符值标识的 MAC 地址或 MAC 组织唯一标识符 (OUI ) 的列表。示例:1122AA33BB44 或 11-22-AA-33-BB-44 或 11-22-AA*

    对于不支持 802.1X 的设备,可以使用 客户端列表 来允许批准的设备访问网络。

    匹配标准
    Ssid

    用户或设备身份验证期间使用的 SSID 名称,基于传入被叫站标识符属性。您可以使用逗号分隔值在一个标签中组合多个 SSID。

    匹配标准
    目录属性 用户组成员身份。身份提供商 (IdP) 在用户或设备授权期间提供用户组信息。

    匹配标准
  3. 点击创建以保存新标签的设置。
    创建身份验证策略时,可以选择在此任务中创建的标签作为匹配条件或策略允许操作。

参见