配置ISE 3.2为被动ID会话分配安全组标记

下载选项

PDF (1.4 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.2 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 2 月 15 日

文档 ID:218315

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何通过ISE 3.2中的授权策略配置安全组标记(SGT)并将其分配到被动ID会话。

先决条件

要求

Cisco 建议您了解以下主题：

思科ISE 3.2
被动ID、TrustSec和PxGrid

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ISE 3.2
FMC 7.0.1
运行16.12.1的WS-C3850-24P

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

思科身份服务引擎(ISE)3.2是支持此功能的最低版本。本文档不介绍PassiveID、PxGrid和SXP配置。有关详细信息，请参阅管理员指南。

在ISE 3.1或更早版本中，安全组标记(SGT)只能分配到Radius会话或主动身份验证（例如802.1x和MAB）。使用ISE 3.2，我们可以为PassiveID会话配置授权策略，以便当身份服务引擎(ISE)从提供程序(例如Active Directory域控制器(AD DC)WMI或AD代理)接收用户登录事件时，它根据用户Active Directory(AD)组成员身份向PassiveID会话分配安全组标记(SGT)。PassiveID的IP-SGT映射和AD组详细信息可以通过SGT交换协议(SXP)发布到TrustSec域和/或发布到Cisco Firepower管理中心(FMC)和思科安全网络分析(Stealthwatch)等Platform Exchange Grid(pxGrid)用户。

配置

流程图

PassiveID TrustSec SGT Assignment Flow 流程图

配置

启用授权流程：

导航至 Active Directory > Advanced Settings > PassiveID Settings 并查看 Authorization Flow 复选框，以便为PassiveID登录用户配置授权策略。默认情况下该选项处于禁用状态。

PassiveID Authorization Flow Setting 启用授权流

注：要使此功能正常工作，请确保在部署中运行PassiveID、PxGrid和SXP服务。您可以在以下位置进行验证 Administration > System > Deployment .

策略集配置：

为PassiveID创建单独的策略集（推荐）。
对于Conditions，请使用属性 PassiveID·PassiveID_Provider 并选择提供商类型。

PassiveID Authorization Condition 策略集

为步骤1中创建的策略集配置授权规则。

为每个规则创建一个条件，并根据AD组、用户名或两者使用PassiveID词典。
为每个规则分配一个安全组标记并保存配置。

PassiveID Authorization Policy for SGT assignment 授权策略

注意：身份验证策略不相关，因为它未在此流中使用。

注：您可以使用 PassiveID_Username, PassiveID_Groups,或 PassiveID_Provider 属性以创建授权规则。

4.导航至 Work Centers > TrustSec > Settings > SXP Settings 启用 Publish SXP bindings on pxGrid 和 Add RADIUS and PassiveID Mappings into SXP IP SGT Mapping Table 与PxGrid用户共享PassiveID映射，并将它们包含在ISE上的SXP映射表中。

Publishing SXP Bindings over PxGrid SXP设置

验证

使用本部分可确认配置能否正常运行。

ISE验证

用户登录事件从提供商(例如Active Directory域控制器(AD DC)WMI或AD代理)发送到ISE后，继续检查实时日志。导航至 Operations > Radius > Live Logs.

Verify PassiveID Authorization Flow in live sessions. Radius实时日志

点击“详细信息”(Details)列中的放大镜图标，以查看用户的详细报告，在此示例中为smith（域用户），如下所示。

Live Log details user1

其他用户（域管理员）的详细报告。如图所示，根据配置的授权策略分配不同的SGT。

Live Log details user2

验证ISE中的SGT/IP映射表。导航至 Work Centers >TrustSec > All SXP Mappings.

View SXP Bindings on ISE SXP映射表

注意：无法将API提供程序的PassiveID事件发布到SXP对等体。但是，这些用户的SGT详细信息可以通过pxGrid发布。

PxGrid用户验证

此CLI代码段验证FMC是否已从ISE获取之前提到的PassiveID会话的IP-SGT映射。

Verify SXP Binding on FMC FMC CLI验证

TrustSec SXP对等体验证

交换机已从ISE获知PassiveID会话的IP-SGT映射，如此CLI摘录所示。

Verify source of TAG on FMC 交换机CLI验证

注意:AAA和TrustSec的交换机配置不在本文档的讨论范围之内。有关相关配置，请查看Cisco TrustSec指南。

故障排除

本部分提供了可用于对配置进行故障排除的信息。

在ISE上启用调试

导航至 Administration > System > Logging > Debug Log Configuration 将下一个组件设置为指定的级别。

节点	组件名称	日志级别	日志文件名
被动ID	passiveid	跟踪	passiveid-*.log
PxGrid	pxgrid	跟踪	pxgrid-server.log
SXP	sxp	调试	sxp.log

注意：完成故障排除后，请记得重置调试，然后选择相关节点并单击 Reset to Default.

日志片段

1. ISE从提供商接收登录事件：

Passiveid-*.log文件：

ADI debugs on FMC Passiveid-*.log文件

2. ISE根据配置的授权策略分配SGT，并将PassiveID用户的IP-SGT映射发布到PxGrid用户和SXP对等体：

sxp.log文件：

ADI debugs on FMC2 sxp.log文件

pxgrid-server.log文件：

Verify logs on FMC pxgrid-server.log文件

修订历史记录

版本	发布日期	备注
2.0	15-Feb-2023	首次公开发布
1.0	09-Feb-2023	初始版本

由思科工程师提供

罗密欧·米吉沙
思科技术咨询工程师