使用 Cisco ACS 对多个域上的用户进行身份验证

Question

ACS 3.3 安装指南（见http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/installation/guide/windows/install.html#wp981552) 简要提到了受信任的域，最终用户文档也是如此（http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp353805）。我想您可以与每所学校的 Active Directory 基础架构创建单向信任关系，以便通过 AD 实现这一点。

使用 AD 信任关系执行此操作的缺点是，您将需要对学校的域控制器计算机进行名称解析。您可能能够使用“通用 LDAP”用户数据库功能，并使用其 Active Directory 域控制器的 IP 地址，而不是使用 Windows 中的底层管道来处理针对其 AD 数据库的身份验证。

最后，ACS 3.3 安装似乎可以使用另一个 RADIUS 服务器进行基于令牌的身份验证。我会尝试使用标准 RADIUS 服务器（实际上不使用令牌），看看您是否可以让 ACS 向另一个 RADIUS 服务器进行身份验证。如果可以，您可以要求学校运行 RADIUS 服务器（如 Microsoft IAS）并只向您公开该服务器。这将使你们双方尽可能地解耦，同时仍能实现您想要的目标。这是一个长远的目标，但它可能会奏效。

我可能会首先采用通用 LDAP 路由（http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp354503）。

Answer 1

ACS 3.3 安装指南（见http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/installation/guide/windows/install.html#wp981552) 简要提到了受信任的域，最终用户文档也是如此（http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp353805）。我想您可以与每所学校的 Active Directory 基础架构创建单向信任关系，以便通过 AD 实现这一点。

使用 AD 信任关系执行此操作的缺点是，您将需要对学校的域控制器计算机进行名称解析。您可能能够使用“通用 LDAP”用户数据库功能，并使用其 Active Directory 域控制器的 IP 地址，而不是使用 Windows 中的底层管道来处理针对其 AD 数据库的身份验证。

最后，ACS 3.3 安装似乎可以使用另一个 RADIUS 服务器进行基于令牌的身份验证。我会尝试使用标准 RADIUS 服务器（实际上不使用令牌），看看您是否可以让 ACS 向另一个 RADIUS 服务器进行身份验证。如果可以，您可以要求学校运行 RADIUS 服务器（如 Microsoft IAS）并只向您公开该服务器。这将使你们双方尽可能地解耦，同时仍能实现您想要的目标。这是一个长远的目标，但它可能会奏效。

我可能会首先采用通用 LDAP 路由（http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/3.3/user/guide/d.html#wp354503）。

使用 Cisco ACS 对多个域上的用户进行身份验证

答案1

相关内容