经常有人问我关于支持“境界剥皮”,虽然大多是由那些在大学空间。这是一个有趣的概念,肯定。这个想法是,有人会发出一个包括标识内的一些“路由”信息的身份。例如,用户可以发出的用户名:johndoe@somedomain.com。从该用户名,RADIUS服务器应该能够剥离出用户名“johndoe的”,并使用“@ somedomain.com”指定身份商店查询用户名和密码。
想想吧。这将允许在一个漂亮干净的方式标识的联合,因为我的网域名称作为我的用户名的一部分,因此您的RADIUS服务器将能够问我的身份存储来验证用户或没有的。
eduroam对于这种类型的路由最受欢迎的服务之一。该服务允许从大学1行驶大学2校园使用从原来的大学证书的凭据的当天和认证的大学2的无线网络学生漫游。
一个要求,以支持Eduroam服务是RADIUS服务器必须能够剥去路由数据(称为“域”)。所以johndoe@university1.edu验证到大学2的网络中,身份请求路由到Eduroam服务,将请求发送到大学1的RADIUS服务器。这RADIUS服务器必须能够从身份剥离@ universityX.edu的,所以“johndoe的”真实的用户名在查询中使用对他们的身份存储(AD,仁科,任何可能持有的实际凭据)。
很酷吧?我一直是这么认为的,但它的东西,思科ISE只吃直到最近的支持非常有限。ISE总是有使用用于标识存储RADIUS代理服务器时剥离领域的能力 - 但只有“外同一性”被剥去(有时被称为“匿名身份”,这是一个总的矛盾),留下inner-身份孤单。这是有问题的,因为试图教万名学生谁“只是想网络访问”如何配置其外部的身份与他们的设备那么多请求者的变化是不完全行政轻巧。ISE也支持这一对LDAP连接,从而不得不剥离内部和外部两个身份的能力,但往往是不足够的。
有一个“隐藏的宝石”,在ISE 1.2发布补丁5,包括房地产本身剥离!嗬!谢谢思科ISE网络访问团队,并不断持续的服务性产品所有者是谁一直在推动这些伟大的想法(当然)(内部笑话,对不起,你们谁不明白这一点)。
为了最糟糕的是,ISE甚至有能力杠杆作用被剥夺了作为一个属性,该属性因素的授权策略,使信息仍然可以提供与访问决策价值的信息。此外,这一切都非常容易配置。让我们看一个例子:
亚伦Woland
图1 - 配置示例
境界剥离形态例
在上面的例子中,我展示一些前缀的汽提,以及后缀。多个条目之间用逗号隔开。注:在ISE 1.2块6的产品也将去掉错误的空间中的条目之间,但与补丁5,你必须确保你没有包含空格。
在上图中,我们剥离了如下前缀:“DOM1 \,DOM2 $,DOM3”,这将产生以下结果:
DOM1 \布拉德变成布拉德
DOM2 $布拉德变成布拉德
dom3brad变成布拉德
我们也剔除了以下后缀:“@ domain.com,@ DOMAIN2”
suzy@domain.com成为苏茜
suzy@domain2.com成为苏茜
有许多的用例领域剥离。你可以用它来分隔业务线,或者可能只是更换旧的遗留FreeRADIUS的系统,该系统使用的国度,让最终用户影响授权的结果。而后者是不是我会永远建议一个设计,我不得不与工作需要的功能,以他们的遗留系统升级到更现代的策略服务器,比如Cisco的ISE公司。
嗯,这是它现在,请随时查看更多回来了!
亚伦