簡介
本文檔介紹如何從Firepower使用者代理遷移到Identity Services Engine(ISE)。
背景資訊
在未來的版本中,Firepower使用者代理不再可用。 它由ISE或身份服務引擎 — 被動ID聯結器(ISE-PIC)替換。如果您當前使用使用者代理並且正在考慮遷移到ISE,本文檔提供遷移的注意事項和策略。
使用者身份概述
目前有兩種方法可從現有身份基礎設施中提取使用者身份資訊:使用者代理和ISE整合。
使用者代理
使用者代理是安裝在Windows平台上的應用程式。它依賴Windows Management Instrumentation(WMI)協定來訪問使用者登入事件(事件型別4624),然後將資料儲存到本地資料庫。使用者代理檢索登入事件的方法有兩種:在使用者登入時即時更新(僅限Windows Server 2008和2012)或輪詢每個可配置間隔的資料。同樣,使用者代理會將從Active Directory(AD)接收的資料即時傳送到Firepower管理中心(FMC),並定期向FMC傳送批次登入資料。
使用者代理可檢測的登入型別包括直接或通過遠端案頭登入到主機;檔案共用登入;以及電腦帳戶登入。使用者代理不支援其他型別的登入,如Citrix、網路登入和Kerberos登入。
使用者代理具有可選功能,可檢測對映使用者是否已註銷。如果啟用了註銷檢查,它將定期檢查進程是否正在每個對映的端點上運行explorer.exe。如果它無法檢測到正在運行的進程,則在72小時後,將刪除此使用者的對映。
身分識別服務引擎
ISE是管理使用者網路登入會話的強大AAA伺服器。由於ISE直接與網路裝置(如交換機和無線控制器)通訊,因此可以訪問有關使用者活動的最新資料,使其成為比使用者代理更好的身份源。當使用者登入到終端時,它通常自動連線到網路,並且如果為網路啟用dot1x驗證,ISE會為這些使用者建立身份驗證會話並保持其活動狀態,直到使用者註銷網路。如果ISE與FMC整合,則會將使用者 — IP對映(以及ISE收集的其他資料)資料轉發到FMC。
通過pxGrid可以將ISE與FMC整合。pxGrid是一種協定,用於集中分發ISE伺服器和其他產品的會話資訊。在此整合中,ISE充當pxGrid控制器,而FMC向控制器訂用以接收會話資料(FMC不會向ISE發佈任何資料,除非在稍後討論的補救期間),並將資料傳遞到感測器以實現使用者感知。
身分識別服務引擎 — 被動身分識別聯結器(ISE-PIC)
身份服務引擎 — 被動身份聯結器(ISE-PIC)本質上是一個具有受限許可證的ISE例項。ISE-PIC不執行任何身份驗證,而是充當網路中各種身份源的中央中心,收集身份資料並將其提供給使用者。ISE-PIC與使用者代理類似,它也使用WMI從AD收集登入事件,但具有更強大的功能,稱為被動身份。它還通過pxGrid與FMC整合。
遷移注意事項
許可要求
FMC不需要額外的許可證。如果尚未在基礎設施中部署ISE,則需要許可證。有關詳細資訊,請參閱Cisco ISE許可模型文檔。 ISE-PIC是完整ISE部署中已存在的功能集,因此,如果存在現有ISE部署,則無需其他許可證。有關ISE-PIC的新部署或單獨部署,請參閱Cisco ISE-PIC許可文檔瞭解詳細資訊。
SSL證書
雖然使用者代理不要求公開金鑰基礎設施(PKI)與FMC和AD通訊,但ISE或ISE-PIC整合要求ISE和FMC之間共用的SSL證書僅用於身份驗證。該整合支援證書頒發機構簽名的證書和自簽名證書,前提是伺服器身份驗證和客戶端身份驗證擴展金鑰用法(EKU)都新增到證書中。
身份源覆蓋
使用者代理僅涵蓋Windows案頭上的Windows登入事件,並檢測基於輪詢的註銷。ISE-PIC涵蓋Windows案頭登入以及其他身份源,例如AD代理、Kerberos SPAN、系統日誌解析器和終端服務代理(TSA)。完整ISE具有所有ISE-PIC的覆蓋範圍以及來自非Windows工作站和流動裝置的網路身份驗證,以及其他功能。
|
使用者代理 |
ISE-PIC |
ISE |
| Active Directory案頭登入 |
是 |
是 |
是 |
| 網路登入 |
否 |
否 |
是 |
| 終端探測 |
是 |
是 |
是 |
| InfoBlox/IPAM |
否 |
是 |
是 |
| LDAP |
否 |
是 |
是 |
| 安全Web網關 |
否 |
是 |
是 |
| REST API源 |
否 |
是 |
是 |
| 系統日誌分析器 |
否 |
是 |
是 |
| 網路Span |
否 |
是 |
是 |
使用者代理壽命終止
支援使用者代理的Firepower的最後版本是6.6,它提供了在升級到更高版本之前必須禁用使用者代理的警告。如果需要升級到高於6.6的版本,則必須在升級前完成從使用者代理到ISE或ISE-PIC的遷移。有關詳細資訊,請參閱使用者代理配置指南。
相容性
檢視Firepower產品兼容性指南,以確保整合中涉及的軟體版本相容。請注意,對於未來的Firepower版本,對較新ISE版本的支援需要特定修補程式級別。
遷移策略
從使用者代理遷移到ISE或ISE-PIC需要仔細的規劃、執行和測試,以確保順利過渡用於FMC的使用者身份源並避免對使用者流量產生任何影響。本節提供了此練習的最佳實踐和建議。
準備遷移
從使用者代理切換到ISE整合之前可以完成以下步驟:
步驟 1.配置ISE或ISE-PIC以啟用PassiveID,並與Active Directory建立WMI連線。請參閱ISE-PIC管理指南。
步驟 2.準備FMC的身份證書。它可以是由FMC簽發的自簽名證書,也可以是在FMC上產生的由私人或公共證書頒發機構(CA)簽名的證書簽名請求(CSR)。必須在ISE上安裝自簽名證書或CA的根證書。有關詳細資訊,請參閱ISE和FMC整合指南。
步驟 3.在FMC上安裝簽署ISE的pxGrid證書的CA根證書(或自簽名的pxGrid證書)。有關詳細資訊,請參閱ISE和FMC整合指南。
轉換過程
如果不禁用FMC上的使用者代理配置,則無法配置FMC-ISE整合,因為這兩個配置是互斥的。這可能會在變更期間影響使用者。建議在維護時段期間執行這些步驟。
步驟 1.啟用並驗證FMC-ISE整合。有關詳細資訊,請參閱ISE和FMC整合指南。
步驟 2.導航到FMC上的頁面,確保向FMC報告Analysis > User > User Activities使用者活動。
步驟 3.檢視中的受管裝置上可用的使用者IP對映和使用者組對映Analysis > Connections > Events > Table View of Connection Events。
步驟 4. 修改訪問控制策略,將操作臨時更改為Monitor,使其更改為根據使用者名稱或使用者組條件阻止流量的任何規則。對於允許基於發起程式使用者或組的流量的規則,請建立允許流量而不使用使用者條件的重複規則,然後禁用原始規則。此步驟的目的是確保關鍵業務流量在維護時段後的測試階段不會受到影響。
步驟 5.在維護時段過後,在正常的工作時間內,觀察FMC上的連線事件,以監控使用者IP對映。請注意,僅當存在需要使用者資料的已啟用規則時,連線事件才會顯示使用者資訊。這就是在前面步驟中建議監視操作的原因。
步驟 6.一旦達到所需狀態,只需還原對訪問控制策略所做的更改,並將策略部署推送到受管裝置。
相關資訊
意見