Introduction
Ce document décrit comment migrer de User Agent vers Identity Services Engine (ISE) pour Firepower User Agent.
Informations générales
Dans les versions futures, Firepower User Agent n'est plus disponible. Il est remplacé par ISE ou Identity Services Engine - Passive ID Connector (ISE-PIC). Si vous utilisez actuellement User Agent et envisagez de migrer vers ISE, ce document fournit des considérations et des stratégies pour votre migration.
Présentation de l'identité utilisateur
Il existe actuellement deux méthodes pour extraire les informations d'identité utilisateur de l'infrastructure d'identité existante : User Agent et l'intégration ISE.
Agent utilisateur
User Agent est une application installée sur une plate-forme Windows. Il s'appuie sur le protocole WMI (Windows Management Instrumentation) pour accéder aux événements d'ouverture de session utilisateur (type d'événement 4624), puis enregistre les données dans une base de données locale. Il existe deux façons pour l'agent utilisateur de récupérer les événements de connexion : mis à jour en temps réel lorsque l'utilisateur se connecte (Windows Server 2008 et 2012 uniquement) ou interrogation des données pour chaque intervalle configurable. De même, l'agent utilisateur envoie les données reçues d'Active Directory (AD) au Centre de gestion Firepower (FMC) en temps réel et envoie régulièrement des lots de données d'ouverture de session au FMC.
Les types de connexions détectables par l'agent utilisateur incluent la connexion à un hôte directement ou via le Bureau à distance, la connexion de partage de fichiers et la connexion à un compte d'ordinateur. Les autres types de connexions, tels que les connexions Citrix, réseau et Kerberos, ne sont pas pris en charge par l'agent utilisateur.
L'agent utilisateur dispose d'une fonction facultative pour détecter si l'utilisateur mappé s'est déconnecté. Si la vérification de déconnexion est activée, elle vérifie régulièrement si le processus est en coursexplorer.exed'exécution sur chaque point de terminaison mappé. S'il ne peut pas détecter le processus en cours d'exécution, le mappage de cet utilisateur est supprimé après 72 heures.
Plateforme de services d’identité
ISE est un serveur AAA robuste qui gère les sessions de connexion réseau de l'utilisateur. Étant donné qu'ISE communique directement avec des périphériques réseau tels que des commutateurs et des contrôleurs sans fil, il a accès à des données à jour concernant les activités de l'utilisateur, ce qui en fait une meilleure source d'identité que l'agent utilisateur. Lorsqu'un utilisateur se connecte à un terminal, il se connecte généralement automatiquement au réseau et si l'authentification dot1x est activée pour le réseau, ISE crée une session d'authentification pour ces utilisateurs et la maintient en vie jusqu'à ce que l'utilisateur se déconnecte du réseau. Si ISE est intégré à FMC, il transfère les données de mappage utilisateur-IP (ainsi que d'autres données collectées par ISE) vers FMC.
ISE peut être intégré à FMC via pxGrid. pxGrid est un protocole conçu pour centraliser la distribution des informations de session entre les serveurs ISE et avec d'autres produits. Dans cette intégration, ISE agit en tant que contrôleur pxGrid et FMC s'abonne au contrôleur afin de recevoir des données de session (FMC ne publie aucune donnée à ISE sauf pendant la correction qui est discutée plus loin) et transmet les données aux capteurs afin d'obtenir une prise de conscience de l'utilisateur.
Identity Services Engine - Connecteur d'identité passif (ISE-PIC)
Identity Services Engine - Passive Identity Connector (ISE-PIC) est essentiellement une instance d'ISE avec une licence restreinte. ISE-PIC n'effectue aucune authentification, mais agit en tant que concentrateur central pour diverses sources d'identité sur le réseau, collectant les données d'identité et les fournissant aux abonnés. ISE-PIC est similaire à User Agent dans la mesure où il utilise également WMI afin de collecter des événements de connexion à partir de l'AD, mais avec des fonctionnalités plus robustes connues sous le nom d'identité passive. Il est également intégré à FMC via pxGrid.
Considérations de migration
Conditions de licence
Le FMC ne nécessite pas de licences supplémentaires. ISE nécessite une licence si elle n'est pas déjà déployée dans l'infrastructure. Reportez-vous au document Cisco ISE Licensing Model pour plus de détails. ISE-PIC est un ensemble de fonctionnalités déjà existant dans un déploiement ISE complet. Par conséquent, aucune licence supplémentaire n'est requise en cas de déploiement ISE existant. Pour un déploiement nouveau ou séparé d'ISE-PIC, référez-vous au document Licence ISE-PIC de Cisco pour plus de détails.
Certificat SSL
Bien que l'agent utilisateur ne nécessite pas d'infrastructure à clé publique (PKI) pour les communications avec FMC et AD, l'intégration ISE ou ISE-PIC nécessite des certificats SSL partagés entre ISE et FMC à des fins d'authentification uniquement. L'intégration prend en charge les certificats signés et auto-signés par l'autorité de certification, à condition que l'authentification serveur et l'utilisation de la clé d'extension d'authentification client (EKU) soient ajoutées aux certificats.
Couverture de source d'identité
L'agent utilisateur couvre uniquement les événements de connexion Windows à partir des bureaux Windows, avec une détection de déconnexion basée sur l'interrogation. ISE-PIC couvre les connexions Windows Desktop ainsi que d'autres sources d'identité telles que l'agent AD, Kerberos SPAN, l'analyseur Syslog et l'agent Terminal Services (TSA). ISE complète couvre tous les ISE-PIC, ainsi que l'authentification réseau à partir de stations de travail et de périphériques mobiles non Windows, entre autres fonctionnalités.
|
Agent utilisateur |
ISE-PIC |
ISE |
| Connexion à Active Directory Desktop |
Oui |
Oui |
Oui |
| Connexion réseau |
Non |
Non |
Oui |
| Sonde De Point De Terminaison |
Oui |
Oui |
Oui |
| InfoBlox/IPAM |
Non |
Oui |
Oui |
| LDAP |
Non |
Oui |
Oui |
| Passerelles Web sécurisées |
Non |
Oui |
Oui |
| Sources API REST |
Non |
Oui |
Oui |
| Analyseur Syslog |
Non |
Oui |
Oui |
| Étendue du réseau |
Non |
Oui |
Oui |
Agent utilisateur en fin de vie
La dernière version de Firepower prenant en charge l'agent utilisateur est la version 6.6, qui indique que l'agent utilisateur doit être désactivé avant la mise à niveau vers les versions ultérieures. Si une mise à niveau vers une version ultérieure à 6.6 est nécessaire, la migration de User Agent vers ISE ou ISE-PIC doit être terminée avant la mise à niveau. Référez-vous au Guide de configuration de l'agent utilisateur pour plus de détails.
Compatibilité
Consultez le guide de compatibilité des produits Firepower afin de vous assurer que les versions logicielles impliquées dans l'intégration sont compatibles. Notez que pour les futures versions de Firepower, la prise en charge des versions ISE ultérieures nécessite des niveaux de correctifs spécifiques.
Stratégie de migration
La migration d'User Agent vers ISE ou ISE-PIC nécessite une planification, une exécution et des tests minutieux afin d'assurer une transition en douceur de la source d'identité d'utilisateur pour FMC et d'éviter tout impact sur le trafic utilisateur. Cette section présente les meilleures pratiques et les recommandations pour cet exercice.
Préparation de la migration
Ces étapes peuvent être effectuées avant de passer de User Agent à ISE Integration :
Étape 1. Configurez ISE ou ISE-PIC pour activer PassiveID et établir une connexion WMI avec Active Directory. Reportez-vous au Guide d'administration ISE-PIC.
Étape 2. Préparez le certificat d’identité du FMC. Il peut s’agir d’un certificat auto-signé émis par le FMC ou d’une demande de signature de certificat (CSR) générée sur le FMC, à signer par une autorité de certification (CA) privée ou publique. Le certificat auto-signé ou le certificat racine de l'autorité de certification doit être installé sur ISE. Reportez-vous au Guide d'intégration ISE et FMC pour plus de détails.
Étape 3. Installez le certificat racine de l'autorité de certification qui a signé le certificat pxGrid de l'ISE (ou le certificat pxGrid s'il est auto-signé) sur FMC. Reportez-vous au Guide d'intégration ISE et FMC pour plus de détails.
Processus de basculement
L'intégration FMC-ISE ne peut pas être configurée sans désactiver la configuration de l'agent utilisateur sur FMC, car les deux configurations s'excluent mutuellement. Cela peut affecter les utilisateurs pendant la modification. Il est recommandé d'effectuer ces étapes pendant la fenêtre de maintenance.
Étape 1. Activez et vérifiez l'intégration FMC-ISE. Reportez-vous au Guide d'intégration ISE et FMC pour plus d'informations.
Étape 2. Assurez-vous que les activités des utilisateurs sont signalées au CGF en accédant à la pageAnalysis > User > User Activitiesdu CGF.
Étape 3. Vérifiez que le mappage IP utilisateur et le mappage de groupe d'utilisateurs sont disponibles sur les périphériques gérés à partir deAnalysis > Connections > Events > Table View of Connection Events.
Étape 4. Modifiez la politique de contrôle d'accès afin de changer temporairement l'action en Surveillance pour toute règle qui bloque le trafic selon le nom d'utilisateur ou la condition de groupe d'utilisateurs. Pour les règles qui autorisent le trafic basé sur l'utilisateur ou le groupe initiateur, créez une règle dupliquée qui autorise le trafic sans critères utilisateur, puis désactivez la règle d'origine. L'objectif de cette étape est de s'assurer que le trafic critique n'est pas affecté pendant la phase de test après la fenêtre de maintenance.
Étape 5. Après la fenêtre de maintenance, pendant les heures de bureau normales, observez les événements de connexion sur FMC afin de surveiller le mappage utilisateur-IP. Notez que les événements de connexion affichent des informations utilisateur uniquement si une règle activée requiert des données utilisateur. C'est pourquoi l'action de surveillance est suggérée à l'étape précédente.
Étape 6. Une fois l'état souhaité atteint, il vous suffit de rétablir les modifications apportées aux politiques de contrôle d'accès et de pousser le déploiement des politiques vers les périphériques gérés.
Informations connexes
Commentaires