配置ISE 3.2為PassiveID會話分配安全組標籤

下載選項

PDF (1.4 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.2 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 2 月 15 日

文件 ID:218315

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何通過ISE 3.2中的授權策略配置安全組標籤(SGT)並將其分配給被動ID會話。

必要條件

需求

思科建議您瞭解以下主題：

Cisco ISE 3.2
被動ID、TrustSec和PxGrid

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco ISE 3.2
FMC 7.0.1
運行16.12.1的WS-C3850-24P

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

思科身份服務引擎(ISE)3.2是支援此功能的最低版本。本文檔不涉及PassiveID、PxGrid和SXP配置。有關相關資訊，請參閱管理員指南。

在ISE 3.1或更舊版本中，安全組標籤(SGT)只能分配給Radius會話或主動身份驗證（例如802.1x和MAB）。在ISE 3.2中，我們可以為PassiveID會話配置授權策略，以便當身份服務引擎(ISE)從提供商(例如Active Directory域控制器(AD DC)WMI或AD代理)接收使用者登入事件時，它基於使用者Active Directory(AD)組成員身份向PassiveID會話分配安全組標籤(SGT)。PassiveID的IP-SGT對映和AD組詳細資訊可以通過SGT交換協定(SXP)發佈到TrustSec域和/或發佈到Platform Exchange Grid(pxGrid)使用者，例如Cisco Firepower管理中心(FMC)和Cisco Secure Network Analytics(Stealthwatch)。

設定

流程圖

PassiveID TrustSec SGT Assignment Flow 流程圖

組態

啟用授權流：

導航至 Active Directory > Advanced Settings > PassiveID Settings 並檢查 Authorization Flow 覈取方塊，以便為PassiveID登入使用者配置授權策略。預設情況下，此選項處於禁用狀態。

PassiveID Authorization Flow Setting 啟用授權流

註：要使用此功能，請確保在部署中運行PassiveID、PxGrid和SXP服務。您可以在以下位置驗證這一點 Administration > System > Deployment .

策略集配置：

為PassiveID建立單獨的策略集（推薦）。
對於條件，請使用屬性 PassiveID·PassiveID_Provider 並選擇提供商型別。

PassiveID Authorization Condition 策略集

為步驟1中建立的策略集配置授權規則。

為每個規則建立一個條件，並基於AD組、使用者名稱或兩者使用PassiveID字典。
為每個規則分配一個安全組標籤並儲存配置。

PassiveID Authorization Policy for SGT assignment 授權策略

注意：身份驗證策略不相關，因為它未在此流中使用。

註：您可以 PassiveID_Username, PassiveID_Groups,或 PassiveID_Provider 屬性來建立授權規則。

4.導航至 Work Centers > TrustSec > Settings > SXP Settings 啟用 Publish SXP bindings on pxGrid 和 Add RADIUS and PassiveID Mappings into SXP IP SGT Mapping Table 與PxGrid使用者共用PassiveID對映，並將它們包括在ISE上的SXP對映表中。

Publishing SXP Bindings over PxGrid SXP設定

驗證

使用本節內容，確認您的組態是否正常運作。

ISE驗證

使用者登入事件從Active Directory域控制器(AD DC)WMI或AD代理等提供程式傳送到ISE後，繼續檢查即時日誌。導航至 Operations > Radius > Live Logs.

Verify PassiveID Authorization Flow in live sessions. Radius LiveLog

按一下「詳細資訊」(Details)列中的放大鏡圖示，以檢視使用者的詳細報告，在本例中為smith（域使用者），如下所示。

Live Log details user1

其他使用者（域管理員）的詳細報告。如圖所示，根據配置的授權策略分配不同的SGT。

Live Log details user2

驗證ISE中的SGT/IP對映表。導航至 Work Centers >TrustSec > All SXP Mappings.

View SXP Bindings on ISE SXP對映表

注意：無法將API提供程式的PassiveID事件發佈到SXP對等體。但是，這些使用者的SGT詳細資訊可以通過pxGrid發佈。

PxGrid使用者驗證

此CLI代碼段驗證FMC是否已從ISE獲取之前提到的PassiveID會話的IP-SGT對映。

Verify SXP Binding on FMC FMC CLI驗證

TrustSec SXP對等驗證

交換機已經從ISE獲知PassiveID會話的IP-SGT對映，如此CLI摘錄所示。

Verify source of TAG on FMC 交換機CLI驗證

註:AAA和TrustSec的交換機配置不在本文檔的討論範圍之內。有關相關配置，請檢視Cisco TrustSec指南。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

在ISE上啟用調試

導航至 Administration > System > Logging > Debug Log Configuration 將下一個元件設定為指定級別。

節點	元件名稱	日誌級別	日誌檔名
被動ID	被動	追蹤	passiveid-*.log
Pxgrid	pxgrid	追蹤	pxgrid-server.log
SXP	sxp	偵錯	sxp.log

注意：完成故障排除後，請記得重置調試，並選擇相關節點，然後按一下 Reset to Default.

日誌片段

1. ISE從提供商接收登入事件：

Passiveid-*.log檔案：

ADI debugs on FMC Passiveid-*.log檔案

2. ISE根據配置的授權策略分配SGT並將PassiveID使用者的IP-SGT對映發佈到PxGrid使用者和SXP對等體：

sxp.log檔案：

ADI debugs on FMC2 sxp.log檔案

pxgrid-server.log檔案：

Verify logs on FMC pxgrid-server.log檔案

修訂記錄

修訂	發佈日期	意見
2.0	15-Feb-2023	初始版本
1.0	09-Feb-2023	初始版本

由思科工程師貢獻

Romeo Migisha
Cisco Technical Consulting Engineer