المقدمة
يوضح هذا المستند كيفية الترحيل من وكيل المستخدم إلى محرك خدمات الهوية (ISE) لوكيل مستخدم FirePOWER.
معلومات أساسية
في الإصدارات المستقبلية، لم يعد وكيل مستخدم FirePOWER متوفرا. ويتم إستبدالها ب ISE أو Identity Services Engine - Passive ID Connector (ISE-PIC). إذا كنت تستخدم حاليا "وكيل المستخدم" وتفكر في الترحيل إلى ISE، فإن هذا المستند يقدم اعتبارات واستراتيجيات لترحيلك.
نظرة عامة على هوية المستخدم
توجد حاليا طريقتان لاستخراج معلومات هوية المستخدم من البنية الأساسية للهوية الموجودة: تكامل وكيل المستخدم و ISE.
وكيل المستخدم
عامل المستخدم هو تطبيق مثبت على نظام Windows الأساسي. يعتمد على بروتوكول Windows Management Instrumentation (WMI) للوصول إلى أحداث تسجيل دخول المستخدم (نوع الحدث 4624) ثم يحفظ البيانات إلى قاعدة بيانات محلية. هناك طريقتان لاسترداد "وكيل المستخدم" أحداث تسجيل الدخول: تم تحديثهما في الوقت الحقيقي عند تسجيل دخول المستخدم (في Windows Server 2008 و 2012 فقط) أو التحقق من البيانات لكل فاصل زمني قابل للتكوين. وبالمثل، يرسل "عميل المستخدم" البيانات المتلقاة من Active Directory (AD) إلى مركز إدارة FirePOWER (FMC) في الوقت الفعلي ويرسل دفعات من بيانات تسجيل الدخول إلى FMC بشكل منتظم.
تتضمن أنواع عمليات التسجيل التي يمكن كشفها بواسطة "عميل المستخدم" تسجيل الدخول إلى المضيف مباشرة أو عبر "سطح المكتب البعيد" وتسجيل الدخول لمشاركة الملفات وتسجيل الدخول إلى حساب الكمبيوتر. أنواع أخرى من عمليات تسجيل الدخول مثل عمليات تسجيل الدخول إلى الشبكة و Kerberos التي لا يدعمها وكيل المستخدم.
لدى "وكيل المستخدم" ميزة إختيارية لاكتشاف ما إذا كان المستخدم المعين قد قام بتسجيل الخروج. explorer.exeإذا تم تمكين التحقق من تسجيل الخروج، فإنه يتحقق بشكل دوري ما إذا كانت العملية قيد التشغيل على كل نقطة نهاية معينة. إذا تعذر عليه اكتشاف العملية قيد التشغيل، فسيتم بعد 72 ساعة إزالة التعيين لهذا المستخدم.
محرك خدمات الهوية
ISE هو خادم AAA قوي يدير جلسات تسجيل دخول الشبكة للمستخدم. ونظرا لأن ISE يتصل مباشرة بأجهزة الشبكة مثل المحولات ووحدات التحكم اللاسلكية، فإنه يتمتع بالوصول إلى البيانات الحديثة المتعلقة بأنشطة المستخدم، مما يجعله مصدر هوية أفضل من وكيل المستخدم. عندما يقوم المستخدم بتسجيل الدخول إلى نقطة نهاية، عادة ما تتصل تلقائيا بالشبكة، وإذا تم تمكين مصادقة dot1x للشبكة، يقوم ISE بإنشاء جلسة مصادقة لهؤلاء المستخدمين ويبقيها على قيد الحياة حتى يقوم المستخدم بتسجيل الخروج من الشبكة. إذا تم دمج ISE مع FMC، فإنها تقوم بإعادة توجيه بيانات تعيين المستخدم-IP (بالإضافة إلى البيانات الأخرى التي يتم تجميعها بواسطة ISE) إلى FMC.
يمكن دمج ISE مع FMC عبر PxGrid. إن PxGrid عبارة عن بروتوكول مصمم ليجعل توزيع معلومات جلسة العمل مركزيا بين خوادم ISE ومع منتجات أخرى. وفي هذا الدمج، يعمل ISE كوحدة تحكم في الشبكة الخاصة البينية ومشترك FMC في وحدة التحكم من أجل إستقبال بيانات جلسة العمل (لا تنشر FMC أي بيانات إلى ISE إلا أثناء الإصلاح الذي تتم مناقشته لاحقا) ويمرر البيانات إلى أجهزة الاستشعار من أجل تحقيق وعي المستخدم.
Identity Services Engine - Passive Identity Connector (ISE-PIC)
Identity Services Engine (محرك خدمات الهوية) - Passive Identity Connector (ISE-PIC) هو بشكل أساسي مثيل ISE مع ترخيص مقيد. لا يقوم ISE-PIC بأي مصادقة، بل يعمل بدلا من ذلك كمركز مركزي لمختلف مصادر الهوية في الشبكة، ويجمع بيانات الهوية ويزودها للمشتركين. ISE-PIC يشبه وكيل المستخدم بطريقة إستخدامه أيضا WMI من أجل تجميع أحداث تسجيل الدخول من الإعلان ولكن بميزات أكثر قوة تعرف باسم Passive Identity. كما يتم دمجه أيضا مع FMC عبر شبكة pxGrid.
اعتبارات الهجرة
متطلبات الترخيص
لا تتطلب FMC تراخيص إضافية. يتطلب ISE ترخيصا إذا لم يتم نشره بالفعل في البنية الأساسية. ارجع إلى مستند نموذج ترخيص Cisco ISE للحصول على تفاصيل. ISE-PIC هي مجموعة ميزات موجودة بالفعل في النشر الكامل ISE، لذلك لا يلزم الحصول على تراخيص إضافية في حالة وجود نشر ISE حالي. للحصول على نشر جديد أو منفصل ل ISE-PIC، راجع مستند ترخيص Cisco ISE-PIC للحصول على تفاصيل.
شهادة SSL
بينما لا يتطلب "عميل المستخدم" وجود "البنية الأساسية للمفتاح العام" (PKI) للاتصالات مع FMC و AD، يتطلب دمج ISE أو ISE-PIC شهادات SSL المشتركة بين ISE و FMC لأغراض المصادقة فقط. يدعم التكامل الشهادات الموقعة من هيئة الترخيص والتوقيع الذاتي، على أن يتم إضافة كل من مصادقة الخادم واستخدام مفتاح توسيع مصادقة العميل (EKU) إلى الشهادات.
تغطية مصدر الهوية
يغطي "عميل المستخدم" فقط أحداث تسجيل الدخول إلى Windows من أجهزة كمبيوتر سطح المكتب بنظام التشغيل Windows، مع اكتشاف تسجيل الخروج المستند إلى عملية التحقق. يغطي ISE-PIC تسجيل الدخول إلى سطح مكتب Windows بالإضافة إلى مصادر هوية إضافية مثل وكيل AD، ووكيل Kerberos SPAN، ومعالج syslog، ووكيل الخدمات الطرفية (TSA). يغطي نظام ISE الكامل جميع ميزات ISE-PICs بالإضافة إلى مصادقة الشبكة من محطات العمل غير التابعة لنظام Windows والأجهزة المحمولة من بين ميزات أخرى.
|
وكيل المستخدم |
ISE-PIC |
محرك خدمات كشف الهوية (ISE) |
| تسجيل الدخول إلى سطح المكتب ل Active Directory |
نعم |
نعم |
نعم |
| تسجيل الدخول إلى الشبكة |
لا |
لا |
نعم |
| Endpoint Probe |
نعم |
نعم |
نعم |
| InfoBlox/IPAMs |
لا |
نعم |
نعم |
| LDAP |
لا |
نعم |
نعم |
| بوابات الويب الآمنة |
لا |
نعم |
نعم |
| مصادر واجهة برمجة تطبيقات REST |
لا |
نعم |
نعم |
| Syslog Parser |
لا |
نعم |
نعم |
| فسحة بين دعامتين الشبكة |
لا |
نعم |
نعم |
نهاية العمر الافتراضي لعامل المستخدم
الإصدار الأخير من FirePOWER لدعم "عامل المستخدم" هو 6.6، والذي يوفر تحذيرا بأنه يجب تعطيل "عامل المستخدم" قبل الترقية إلى الإصدارات اللاحقة. إذا كانت الترقية إلى إصدار أحدث من 6.6 أمرا ضروريا، فيجب إتمام الترحيل من "وكيل المستخدم" إلى ISE أو ISE-PIC قبل الترقية. ارجع إلى دليل تكوين وكيل المستخدم للحصول على مزيد من التفاصيل.
التوافق
راجع دليل توافق منتج Firepower للتأكد من أن إصدارات البرامج المعنية بالدمج متوافقة. لاحظ أنه بالنسبة لإصدارات FirePOWER المستقبلية، يتطلب دعم إصدارات ISE اللاحقة مستويات تصحيح محددة.
إستراتيجية الهجرة
يتطلب الترحيل من "وكيل المستخدم" إلى ISE أو ISE-PIC التخطيط والتنفيذ والاختبار بعناية لضمان الانتقال السلس لمصدر هوية المستخدم ل FMC وتجنب أي تأثير على حركة مرور المستخدم. ويقدم هذا القسم أفضل الممارسات والتوصيات لهذا النشاط.
التحضير للترحيل
يمكن تحقيق هذه الخطوات قبل الانتقال من "وكيل المستخدم" إلى "تكامل ISE":
الخطوة 1. قم بتكوين ISE أو ISE-PIC لتمكين PassiveID وإنشاء اتصال WMI مع Active Directory. ارجع إلى دليل إدارة ISE-PIC.
الخطوة 2. اعداد شهاده الهويه الخاصه ب FMC. يمكن أن تكون إما شهادة موقعة ذاتيا صادرة عن FMC أو طلب توقيع شهادة (CSR) منشأ على FMC، لتوقع من قبل هيئة شهادة خاصة أو عامة (CA). يجب تثبيت الشهادة الموقعة ذاتيا أو الشهادة الجذر الخاصة ب CA على ISE. ارجع إلى دليل تكامل ISE و FMC للحصول على مزيد من التفاصيل.
الخطوة 3. قم بتثبيت شهادة جذر CA التي وقعت شهادة pxGrid ل ISE (أو شهادة pxGrid إذا كانت موقعة ذاتيا) على FMC. ارجع إلى دليل تكامل ISE و FMC للحصول على مزيد من التفاصيل.
عملية القطع
لا يمكن تكوين تكامل FMC-ISE دون تعطيل تكوين "وكيل المستخدم" على FMC نظرا لأن التكوينين مستقلان بشكل متبادل. من المحتمل أن يؤثر ذلك على المستخدمين أثناء التغيير. يوصى بإجراء هذه الخطوات أثناء نافذة الصيانة.
الخطوة 1. تمكين تكامل FMC-ISE والتحقق منه. ارجع إلى دليل تكامل ISE و FMC للحصول على تفاصيل.
الخطوة 2. تأكد من إبلاغ أنشطة المستخدم إلى FMC بالانتقال إلىAnalysis > User > User Activitiesصفحة على FMC.
الخطوة 3. راجع توفر تعيين المستخدم-IP وتخطيط مجموعة المستخدمين على الأجهزة المدارة منAnalysis > Connections > Events > Table View of Connection Events.
الخطوة 4. قم بتعديل نهج التحكم في الوصول لتغيير الإجراء للمراقبة بشكل مؤقت إلى أي قواعد تمنع حركة المرور وفقا لشرط اسم المستخدم أو مجموعة المستخدمين. بالنسبة للقواعد التي تسمح بحركة المرور المستندة إلى المستخدم أو المجموعة البادئ، قم بإنشاء قاعدة مكررة تسمح بحركة المرور بدون معايير المستخدم، ثم قم بتعطيل القاعدة الأصلية. الغرض من هذه الخطوة هو التأكد من عدم تأثير حركة مرور بيانات الأعمال الحرجة أثناء مرحلة الاختبار بعد إطار الصيانة.
الخطوة 5. بعد إطار الصيانة، وأثناء ساعات العمل العادية، لاحظ أحداث الاتصال على FMC لمراقبة تخطيط المستخدم-IP. لاحظ أن أحداث الاتصال تظهر معلومات المستخدم فقط في حالة وجود قاعدة ممكنة تتطلب بيانات المستخدم. هذا هو السبب في اقتراح إجراء جهاز العرض في الخطوة السابقة.
الخطوة 6. بمجرد تحقيق الحالة المرغوبة، ما عليك سوى إرجاع التغييرات التي تم إجراؤها على سياسات التحكم في الوصول ودفع نشر السياسة إلى الأجهزة المدارة.
معلومات ذات صلة
التعليقات