我经常被问及支持“领域剥离”,尽管大多是大学空间的人。当然,这是一个有趣的概念。这个想法是某人会发出一个身份,包括在身份中的一些“路由”信息。例如,用户可以发出以下用户名:Johndoe@somedomain.com。从该用户名来看,RADIUS服务器应该能够删除用户名“Johndoe”并使用“@ someDomain.com”指定标识存储才能查询用户名和密码。
想一想。它将允许以相当清洁的方式联合身份,因为我的域名作为用户名的一部分包含,因此您的RADIUS服务器将能够询问我的身份存储以验证用户。
eduroam是这种类型的路由最受欢迎的服务之一。这项服务允许学生从大学1漫游1往大学2年代校园,并使用他们原来的大学凭据的凭据对大学2的无线网络进行身份验证。
支持Eduroam服务的一个要求是RADIUS服务器必须能够剥离路由数据(称为“域”)。因此johndoe@university1.edu对大学2的网络进行身份验证,身份请求被路由到Eduroam服务,后者将请求发送到大学1的RADIUS服务器。该RADIUS服务器必须能够从身份中剥离@universityX.edu,因此在对其身份存储(AD、PeopleSoft等可能持有实际凭据的内容)的查询中使用“johndoe”的真实用户名。
相当酷,呵呵?我一直在想,但思科ISE的支持是最近的支持非常有限。ISE始终有能力在使用身份存储器的RADIUS-PROXY服务器时剥离领域 - 但仅剥离了“外部标识”(有时称为“匿名身份”),剥离了总oxymoron的“匿名身份”,留下了内部 -独自身份。这是有问题的,因为试图教授一百万学生“只想要网络访问”如何配置他们的外部身份,其设备中的许多有限加管变化并不完全是管理的轻量级。ISE还支持此用于LDAP连接,这具有剥离内部和外部身份的能力,但通常不足。
在ISE 1.2贴片5中释放了一个“隐藏的宝石”,包括真正剥离!娃娃!谢谢Cisco ISE网络访问团队,(当然)永久性的可靠性产品所有者,他们一直在推动这些伟大的想法(内部笑话,抱歉那些没有得到它的人)。
最重要的是,ISE甚至能够利用作为授权策略因素的属性而被剥离的信息,因此信息仍然可以为访问决策提供价值。另外,这一切都很容易配置。让我们来看一个例子:
Aaron Woland.
图1 - 配置示例
REALM剥离配置示例
在上面的示例中,我展示了去掉一些前缀和后缀。多个表项之间用逗号分隔。注意:在ISE 1.2补丁6中,产品也将去掉条目之间的错误空格,但在补丁5中,您必须确保不包含空格。
在上图中,我们剥离了以下前缀:" dom1\,dom2$,dom3 ",这将产生以下结果:
dom1 \ brad变成了布拉德
Dom2 $ Brad成为布拉德
Dom3brad成为布拉德
我们还剥离了以下后缀:“@ domain.com,@ domain2”
suzy@domain.com成为Suzy.
suzy@domain2.com变得Suzy.
领域剥离有许多用例。您可以使用它来分隔业务行业,或者可能只是为了替换使用领域的旧传统的Freeradius系统,以允许最终用户影响授权结果。虽然后者不是我推荐的设计,但我必须与需要功能的公司合作,以便将其遗留系统升级到更现代的策略服务器,如思科的ISE。
那是现在的情况,继续检查更多!
亚伦