نشر CSDAC لكائنات O365 الديناميكية على FMC المسبق
المقدمة
يوضح هذا المستند كيفية نشر CSDAC وتكامله لكائنات Microsoft 365 الديناميكية على FMC الجاهزة باستخدام Ansible على Ubuntu 20.04.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن أنت تعرف هذا موضوع:
- الأوامر الأساسية بنظام التشغيل Linux.
- أساسيات بايثون، و Docker، والمعرفة غير المحتملة.
- معرفة أساسية بالمكتب 365.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- برنامج Cisco Firewall Management Center Virtual (FMCv) VWware الذي يشغل الإصدار 7.2.5.
- Cisco Secure Dynamic Attributes Connector (CSDAC)، الإصدار 2.2.
- وحدة المعالجة المركزية (CPU) من Ubuntu سعة 4 فولت/8 جيجابايت الإصدار 20. 04.
- الخادم الإصدار 24.0.6.
- بايثون 3. 8. 10.
- جهاز افتراضي 2. 12. 10.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يسمح Cisco Secure Dynamic Attributes (CSDAC) بجمع البيانات مثل الشبكات وعناوين IP من موفري السحابة وإرسالها إلى مركز إدارة جدار الحماية الآمن من Cisco حتى يمكن إستخدامه في قواعد سياسة التحكم في الوصول.
يسمح Cisco Secure Dynamic Attributes Connector باستخدام أرقام الصيانة والفئات من الأنظمة الأساسية المختلفة لخدمة السحابة مثل AWS و Github و Google Cloud و Azure وعلامات خدمة Azure و Microsoft Office 365 و vCenter.
لا يمكن الاعتماد على عمليات إنشاء الشبكة مثل عناوين IP في بيئات الوحدات الظاهرية والسحابية والحاويات نظرا للطبيعة الديناميكية لأحمال العمل وحتمية تداخل عناوين IP. في بعض الأحيان، يجب تعريف قواعد النهج في المنشآت غير التابعة للشبكة مثل اسم الجهاز الظاهري (VM) أو مجموعة الأمان. وبالتالي، تكون سياسات جدار الحماية مستمرة حتى عندما يتغير عنوان IP أو شبكة VLAN. يمكن تجميع هذه العلامات والسمات باستخدام حاويات إرساء السمات الديناميكية Dynamic Attributes Docker التي تعمل على الأجهزة الافتراضية Ubuntu أو CentOS أو Red Hat Enterprise Linux. إذا كنت ترغب في تثبيت CSDAC على CentOS أو Red Hat، ارجع إلى دليل الوثائق الرسمية.
يتم تثبيت موصل السمات الديناميكية على مضيف Ubuntu باستخدام Ansible Collection. تدعم سمات Cisco الديناميكية الآمنة نوعين من المهايئات.
- مركز إدارة الحماية الآمنة On-prem Secure Firewall Management Center.
- مركز إدارة جدار الحماية الذي تم توفيره عبر السحابة.
تركز هذه المقالة على نشر Cisco Secure Dynamic Attributes Connect على مضيف Ubuntu لخدمة سحابة Microsoft Office 365 مع مركز إدارة جدار الحماية الآمن على الإنترنت.
التكوين
ينقسم هذا القسم إلى الأقسام التالية:
- نشر CSDAC في Ubuntu 20. 04.
- إنشاء موصل Office 365.
- إنشاء موصل vCenter.
الرسم التخطيطي للشبكة
نشر CSDAC في Ubuntu 20.04
يناقش هذا القسم كيفية تثبيت البرامج الأساسية على Ubuntu.
الخطوة 1: لم يتم تثبيت التحقق من صحة Docker.
root@tac:/home/tac# docker --version
Command 'docker' not found.
الخطوة 2: تحديث مستودعات Ubuntu.
root@tac:/home/tac# sudo apt -y update && sudo apt -y upgrade
Hit:1 http://security-ubuntu-site/ubuntu focal-security InRelease
Hit:2 http://ubuntu-repository-web-site/ubuntu focal InRelease
Hit:3 http://ubuntu-repository-web-site/ubuntu focal-updates InRelease
Hit:4 http://ubuntu-repository-web-site/ubuntu focal-backports InRelease
Reading package lists... Done
Building dependency tree
Reading state information... Done
334 packages can be upgraded. Run 'apt list --upgradable' to see them.
Reading package lists... Done
Building dependency tree
....
الخطوة 3: تأكيد إصدار Python.
root@tac:/home/tac# /usr/bin/python3 --version
Python 3.8.10
الخطوة 4: قم بتثبيت المكتبات العامة.
root@tac:/home/tac# sudo apt -y install software-properties-common
Reading package lists... Done
Building dependency tree
Reading state information... Done
...
الخطوة 5: تثبيت غير قابل للتشغيل.
root@tac:/home/tac# sudo apt-add-repository -y -u ppa:ansible/ansible && sudo apt -y install ansible
Hit:1 http://security-ubuntu-site/ubuntu focal-security InRelease
Get:2 http://personal-package-archive-site/ansible/ansible/ubuntu focal InRelease [18.0 kB]
Hit:3 http://ubuntu-repository-web-siteubuntu focal InRelease
Hit:4 http://ubuntu-repository-web-site/ubuntu focal-updates InRelease
Hit:5 http://ubuntu-repository-web-site/ubuntu focal-backports InRelease
Get:6 http://personal-package-archive-site/ansible/ansible/ubuntu focal/main amd64 Packages [1 132 B]
Get:7 http://personal-package-archive-site/ansible/ansible/ubuntu focal/main i386 Packages [1 132 B]
Get:8 http://personal-package-archive-site/ansible/ansible/ubuntu focal/main Translation-en [756 B]
Fetched 21.1 kB in 3s (7 526 B/s)
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
...
الخطوة 6: تحقق من الإصدار غير المحتمل.
root@tac:/home/tac# ansible --version
ansible [core 2.12.10]
config file = /etc/ansible/ansible.cfg
configured module search path = ['/root/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
ansible python module location = /usr/lib/python3/dist-packages/ansible
ansible collection location = /root/.ansible/collections:/usr/share/ansible/collections
executable location = /usr/bin/ansible
python version = 3.8.10 (default, May 26 2023, 14:05:08) [GCC 9.4.0]
jinja version = 2.10.1
libyaml = True
الخطوة 7: احصل على برنامج Dynamic Attributes Connector باستخدام Ansible.
root@tac:/home/tac# ansible-galaxy collection install cisco.csdac
Starting galaxy collection install process
Process install dependency map
Starting collection install process
Downloading https://galaxy-ansible-site/download/cisco-csdac-2.2.1.tar.gz to /root/.ansible/tmp/ansible-local-52406urwp91ou/tmpqabv89vb/cisco-csdac-2.2.1-fr29zaq5
Downloading https://galaxy-ansible-site/download/community-crypto-2.15.1.tar.gz to /root/.ansible/tmp/ansible-local-52406urwp91ou/tmpqabv89vb/community-crypto-2.15.1-dkc897hb
Installing 'cisco.csdac:2.2.1' to '/root/.ansible/collections/ansible_collections/cisco/csdac'
cisco.csdac:2.2.1 was installed successfully
Installing 'community.crypto:2.15.1' to '/root/.ansible/collections/ansible_collections/community/crypto'
Downloading https://galaxy-ansible-site/download/community-general-7.4.0.tar.gz to /root/.ansible/tmp/ansible-local-52406urwp91ou/tmpqabv89vb/community-general-7.4.0-cr9imbx3
community.crypto:2.15.1 was installed successfully
Installing 'community.general:7.4.0' to '/root/.ansible/collections/ansible_collections/community/general'
community.general:7.4.0 was installed successfully
الخطوة 8: انتقل إلى دليل csdac.
root@tac:/home/tac# cd ~/.ansible/collections/ansible_collections/cisco/csdac/
الخطوة 9: قم بتثبيت خدمة التجميع.
root@tac:~/.ansible/collections/ansible_collections/cisco/csdac# ansible-playbook default_playbook.yml --ask-become-pass
BECOME password:
[WARNING]: provided hosts list is empty, only localhost is available. Note that
the implicit localhost does not match 'all'
[WARNING]: running playbook inside collection cisco.csdac
PLAY [localhost] ***************************************************************
TASK [Gathering Facts] *********************************************************
ok: [localhost]
TASK [cisco.csdac.csdac : Define Python Interpreter] ***************************
ok: [localhost]
...
TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]
TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]
TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]
TASK [cisco.csdac.csdac : verify that core services are started] ***************
ok: [localhost]
TASK [cisco.csdac.csdac : Post task] *******************************************
ok: [localhost] => {}
MSG:
Please login in to https://172.16.1.53 to configure csdac application
PLAY RECAP *********************************************************************
localhost : ok=72 changed=8 unreachable=0 failed=0 skipped=35 rescued=0 ignored=0
تحذير: في حالة فشل التثبيت بسبب "الأذونات المرفوضة باستخدام مأخذ توصيل برنامج الإرساء الخفي"، ضع في الاعتبار معرف تصحيح الأخطاء من Cisco CSCwh58312 أو اتصل ب Cisco TAC.
الخطوة 10: سجل الدخول إلى الموصل باستخدام عنوان IP ل CSDAC باستخدام بروتوكول HTTPS.
إنشاء موصل Office 365
الخطوة 1: سجل الدخول إلى موصل السمات الديناميكية.
الخطوة 2: انقر فوق "موصلات".
الخطوة 3: أضف موصل Office 365: انقر فوق رمز الإضافة (+)، ثم فوق 'Office 365'.
الخطوة 4: قم بتكوين الموصل بالاسم وعنوان URL لواجهة برمجة التطبيقات الأساسية واسم المثيل وتمكين عناوين IP الاختيارية أو تعطيلها.
ولنتأمل هنا ما يلي:
- التقصير الفاصل الزمني السحب هو 30 ثانية.
- عنوان URL لواجهة برمجة التطبيقات الأساسية هو عنوان URL لاسترداد معلومات Office 365. راجع عنوان IP الخاص ب Office 365 وخدمة URL عبر الويب في دليل وثائق Microsoft.
الخطوة 5: انقر فوق "إختبار" وتأكد من نجاح الاختبار قبل حفظ تكوين الموصل.
الخطوة 6: احفظ الحالة وتأكد من أنها "موافق".
إنشاء موصل vCenter
الخطوة 1: سجل الدخول إلى موصل السمات الديناميكية.
الخطوة 2: انقر على "محولات".
الخطوة 3: أضف مهايئ جديد: انقر على رمز الإضافة (+)، ثم فوق "مركز إدارة جدار الحماية على الخادم".
الخطوة 4: قم بتكوين المحول بالاسم وعنوان IP والمنفذ والمستخدم/كلمة المرور.
الخطوة 5: واجهة مستخدم مركز الإدارة الآمنة لجدار الحماية المفتوح على PREM.
الخطوة 6: قم بتنزيل شهادة HTTPS PEM (سلسلة) من المستعرض: انقر فوق قفل HTTPS الظاهر على المستعرض، واتصال آمن، والمزيد من المعلومات، وعرض الشهادة، و PEM (سلسلة).
يقوم هذا بتنزيل ملف .pem مع سلسلة الشهادات.
الخطوة 7: افتح "موصل السمات الديناميكية" وانقر على "الحصول على شهادة" و"إستعراض من الملف...".
الخطوة 8: قم بتحميل شهادة .pem وانقر فوق 'TEST' لضمان نجاح الاختبار.
الخطوة 9: احفظ الحالة وتأكد من أنها "موافق".
الخطوة 10: بدء إنشاء قواعد سياسة التحكم في الوصول باستخدام سمات Office 365 الديناميكية على واجهة مستخدم مركز إدارة جدار الحماية على الخادم.
التحقق من الصحة
تحقق من حالة الحاوية على Ubuntu للخدمات المركزية والموصلات والمهايئات.
root@tac://# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
44f71f675ff1 public.ecr.aws/e6e4t5f5/muster_fmc_adapter:2.2.0-latest "./docker-entrypoint…" 12 hours ago Up 12 hours 50070/tcp muster-adapter-fmc.2.muster
88826cf0742f public.ecr.aws/e6e4t5f5/muster_o365_connector:2.2.0-latest "./docker-entrypoint…" 13 hours ago Up 13 hours 50070/tcp muster-connector-o365.3.muster
4c2c73d351e2 public.ecr.aws/e6e4t5f5/muster_envoy:2.2.0-latest "/docker-entrypoint.…" 2 days ago Up 2 days 0.0.0.0:443->8443/tcp muster-envoy
67f3afae2165 public.ecr.aws/e6e4t5f5/muster_ui:2.2.0-latest "/docker-entrypoint.…" 2 days ago Up 2 days 8080/tcp muster-ui
722a764c54e9 public.ecr.aws/e6e4t5f5/muster_ui_backend:2.2.0-latest "./docker-entrypoint…" 2 days ago Up 2 days 50031/tcp muster-ui-backend
038654545f30 public.ecr.aws/e6e4t5f5/muster_bee:2.2.0-latest "/bin/sh -c /app/bee" 2 days ago Up 2 days 50050/tcp, 50443/tcp muster-bee
90cfd7e3a28b public.ecr.aws/e6e4t5f5/muster_etcd:2.2.0-latest "etcd" 2 days ago Up 2 days 2379-2380/tcp muster-etcd
تحقق من حالة الموصل من واجهة مستخدم CSDAC.
التحقق من حالة المحول من واجهة مستخدم CSDAC.
تحقق من سمات Office 365 الديناميكية على مركز إدارة جدران الحماية.
قم بإنشاء قاعدة سياسة للتحكم بالوصول أو تحريرها، وانقر فوق 'سمات ديناميكية'، وانقر فوق 'سمات متوفرة'، وحدد 'كائنات ديناميكية'.
استكشاف الأخطاء وإصلاحها
في حالة وجود مشاكل تثبيت Secure Dynamic Attributes Connector مع Sible، قم بتجميع 'csdac.log' الموجودة في دليل '~/.ansible/collections/ansible_collection/cisco/csdac/log/'.
root@tac://# cd ~/.ansible/collections/ansible_collections/cisco/logs/
root@tac:~/.ansible/collections/ansible_collections/cisco/csdac/logs# ls -lth
total 276K
-rw-r--r-- 1 root root 272K sep 14 15:37 csdac.log
تم العثور على سجلات فشل التثبيت في هذا الملف. فتحها باستخدام أوامر 'cat' أو 'less' Linux، استكشف سجلات الأعطال، أو اتصل ب cisco TAC وقدم هذا الملف.
في بعض الأحيان، يفشل التثبيت غير المحتمل بسبب "رفض الأذونات". استكشف ملف csdac.log وابحث عن سجلات "تم رفض الإذن".
TASK [cisco.csdac.csdac : print result of csdac command line start command (stderr)] ***
ok: [localhost] => {
"muster_cli_start_result.stderr_lines": [
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/volumes/create\": dial unix /var/run/docker.sock: connect: permission denied",
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/volumes/create\": dial unix /var/run/docker.sock: connect: permission denied",
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/volumes/create\": dial unix /var/run/docker.sock: connect: permission denied",
"permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/networks/create\": dial unix /var/run/docker.sock: connect: permission denied",
"docker: permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/create\": dial unix /var/run/docker.sock: connect: permission denied.",
"See 'docker run --help'.",
"docker: permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post \"http://%2Fvar%2Frun%2Fdocker.sock/v1.24/containers/create\": dial unix /var/run/docker.sock: connect: permission denied."
إن يعثر على سجل مماثل، cisco بق id CSCwh58312 أو اتصل ب cisco TAC للمساعدة.
إذا كان 'docker ps -a' يشير إلى أن الحاويات معطلة أو لإعادة تشغيل الحاويات في حالة حدوث مشاكل، يمكن إعادة تشغيل الحاويات باستخدام الأمر 'docker restart container-id'.
مثال: إعادة تشغيل Office 365 بمعرف الحاوية '88826cf0742f'.
root@tac://# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
44f71f675ff1 public.ecr.aws/e6e4t5f5/muster_fmc_adapter:2.2.0-latest "./docker-entrypoint…" 12 hours ago Up 12 hours 50070/tcp muster-adapter-fmc.2.muster
88826cf0742f public.ecr.aws/e6e4t5f5/muster_o365_connector:2.2.0-latest "./docker-entrypoint…" 13 hours ago Up 13 hours 50070/tcp muster-connector-o365.3.muster
root@tac://# docker restart 88826cf0742f
root@tac://# docker ps -a
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
44f71f675ff1 public.ecr.aws/e6e4t5f5/muster_fmc_adapter:2.2.0-latest "./docker-entrypoint…" 12 hours ago Up 12 hours 50070/tcp muster-adapter-fmc.2.muster
88826cf0742f public.ecr.aws/e6e4t5f5/muster_o365_connector:2.2.0-latest "./docker-entrypoint…" 13 hours ago Up 2 seconds 50070/tcp muster-connector-o365.3.muster
تحقق من الاتصال ب CSDAC وتحقق من إنشاء الكائنات على مركز إدارة جدار الحماية الآمن.
> expert
sudoadmin@firepower:~$ sudo su -
Password:
root@firepower:/Volume/home/admin# cat /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
17-Sep-2023 17:24:58.046,[INFO],(DefenseCenterServiceImpl.java:1462)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-2
** REST Request [ CSM ]
** ID : ff3e6259-2417-48cc-8e5e-a41d0bd04b39
** URL: POST /audit
{
"version":"7.2.5",
"requestId":"ff3e6259-2417-48cc-8e5e-a41d0bd04b39",
"data":{
"userName":"TAC",
"subsystem":"API",
"message":"POST https://FMC-FQDN/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f
/object/bulkdynamicobjects Created (201) - The request has been fulfilled and resulted in a new resource being created",
"sourceIP":"172.16.1.53",
"domainUuid":"e276abec-e0f2-11e3-8169-6d9ed49b625f",
"time":"1694971497660"},"deleteList":[]
}
معلومات ذات صلة
يمكن العثور على مستندات إضافية متعلقة بالسمات الديناميكية الآمنة (CSDAC) من Cisco هنا:
حول موصل السمات الديناميكية من Cisco
تثبيت موصل السمات الديناميكية الآمنة من Cisco وترقيته
تكوين موصل السمات الديناميكية من Cisco
إستخدام الكائنات الديناميكية في سياسات التحكم بالوصول
أستكشاف أخطاء موصل السمات الديناميكية وإصلاحها
فشل تثبيت CSDAC 2.2 "تم رفض الإذن باستخدام مأخذ توصيل الخادم" في Ubuntu 20.04.
معرف تصحيح الأخطاء من Cisco CSCwh58312.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
04-Oct-2023 |
الإصدار الأولي |
التعليقات