简介
本文档介绍如何从Firepower用户代理迁移到身份服务引擎(ISE)。
背景信息
在未来版本中,Firepower用户代理不再可用。 它由ISE或身份服务引擎 — 被动ID连接器(ISE-PIC)替代。如果您当前使用用户代理并且正在考虑迁移到ISE,本文档将提供迁移注意事项和策略。
用户身份概述
从现有身份基础设施中提取用户身份信息的方法目前有两种:用户代理和ISE集成。
用户代理
用户代理是安装在Windows平台上的应用程序。它依赖Windows Management Instrumentation(WMI)协议来访问用户登录事件(事件类型4624),然后将数据保存到本地数据库。用户代理有两种检索登录事件的方式:在用户登录时实时更新(仅限Windows Server 2008和2012)或轮询每个可配置间隔的数据。同样,用户代理将从Active Directory(AD)接收的数据实时发送到Firepower管理中心(FMC),并定期向FMC发送批量登录数据。
用户代理可检测的登录类型包括直接或通过远程桌面登录主机;文件共享登录;以及计算机帐户登录。用户代理不支持其他类型的登录,例如Citrix、网络登录和Kerberos登录。
用户代理具有可选功能,可检测映射用户是否已注销。如果启用了注销检查,它会定期检查进程是否正在每个映射的终端上运行explorer.exe。如果它无法检测到正在运行的进程,则在72小时后,将删除此用户的映射。
身份服务引擎
ISE是管理用户网络登录会话的强大AAA服务器。由于ISE直接与网络设备(如交换机和无线控制器)通信,因此可以访问有关用户活动的最新数据,使其成为比用户代理更好的身份源。当用户登录到终端时,通常会自动连接到网络,如果网络启用了dot1x身份验证,则ISE会为这些用户创建身份验证会话,并一直保持其活动状态,直到用户从网络中注销。如果ISE与FMC集成,则会将用户 — IP映射(以及ISE收集的其他数据)数据转发到FMC。
ISE可以通过pxGrid与FMC集成。pxGrid是一种用于集中在ISE服务器之间以及与其他产品之间分配会话信息的协议。在此集成中,ISE充当pxGrid控制器,FMC向控制器订用以接收会话数据(FMC不会向ISE发布任何数据,除非在稍后讨论的补救期间),并将数据传递到传感器以实现用户感知。
身份服务引擎 — 被动身份连接器(ISE-PIC)
身份服务引擎 — 被动身份连接器(ISE-PIC)实质上是具有受限许可证的ISE实例。ISE-PIC不执行任何身份验证,而是充当网络中各种身份源的中央集线器,收集身份数据并将其提供给用户。ISE-PIC与用户代理类似,它也使用WMI从AD收集登录事件,但具有更强大的功能,称为被动身份。它还通过pxGrid与FMC集成。
迁移注意事项
许可要求
FMC不需要额外的许可证。如果尚未在基础设施中部署ISE,则需要许可证。有关详细信息,请参阅Cisco ISE许可模式文档。 ISE-PIC是完整ISE部署中已存在的功能集,因此,如果存在现有ISE部署,则无需其他许可证。有关ISE-PIC的新部署或单独部署,请参阅Cisco ISE-PIC许可文档了解详细信息。
SSL证书
虽然用户代理不要求与FMC和AD进行通信的公钥基础设施(PKI),但ISE或ISE-PIC集成要求ISE和FMC之间共享的SSL证书仅用于身份验证目的。集成支持证书颁发机构签名和自签名证书,前提是服务器身份验证和客户端身份验证扩展密钥使用(EKU)都已添加到证书。
身份源覆盖
用户代理仅涵盖来自Windows桌面的Windows登录事件,具有基于轮询的注销检测。ISE-PIC涵盖Windows桌面登录以及其他身份源,例如AD代理、Kerberos SPAN、系统日志解析器和终端服务代理(TSA)。完整的ISE涵盖所有ISE-PIC,以及来自非Windows工作站和移动设备的网络身份验证以及其他功能。
|
用户代理 |
ISE-PIC |
ISE |
| Active Directory桌面登录 |
Yes |
Yes |
Yes |
| 网络登录 |
无 |
无 |
Yes |
| 终端探测 |
Yes |
Yes |
Yes |
| InfoBlox/IPAM |
无 |
Yes |
Yes |
| LDAP |
无 |
Yes |
Yes |
| 安全Web网关 |
无 |
Yes |
Yes |
| REST API源 |
无 |
Yes |
Yes |
| 系统日志解析器 |
无 |
Yes |
Yes |
| 网络Span |
无 |
Yes |
Yes |
用户代理寿命终止
支持用户代理的Firepower最新版本是6.6,它提供了一个警告,提示在升级到更高版本之前必须禁用用户代理。如果需要升级到6.6以上的版本,必须在升级之前完成从用户代理到ISE或ISE-PIC的迁移。有关详细信息,请参阅用户代理配置指南。
兼容性
查看Firepower产品兼容性指南,以确保集成中涉及的软件版本兼容。请注意,对于未来的Firepower版本,对较新ISE版本的支持需要特定的补丁级别。
迁移策略
从用户代理迁移到ISE或ISE-PIC需要仔细的规划、执行和测试,以确保平稳过渡FMC的用户身份源并避免对用户流量产生任何影响。本节提供了此练习的最佳实践和建议。
准备迁移
从用户代理切换到ISE集成之前可以完成以下步骤:
步骤1:配置ISE或ISE-PIC以启用PassiveID,并与Active Directory建立WMI连接。请参阅ISE-PIC管理指南。
第二步:准备FMC的身份证书。它可以是由FMC签发的自签名证书,也可以是在FMC上生成的由专用或公共证书颁发机构(CA)签名的证书签名请求(CSR)。必须在ISE上安装自签名证书或CA的根证书。有关详细信息,请参阅ISE和FMC集成指南。
第三步:在FMC上安装签署ISE的pxGrid证书的CA根证书(如果自签,则安装pxGrid证书)。有关详细信息,请参阅ISE和FMC集成指南。
割接流程
如果不禁用FMC上的用户代理配置,则无法配置FMC-ISE集成,因为这两个配置是互斥的。这可能会在更改期间影响用户。建议在维护时段执行这些步骤。
步骤1:启用并验证FMC-ISE集成。有关详细信息,请参阅ISE和FMC集成指南。
第二步:导航到FMC上的页面,确保向FMC报告Analysis > User > User Activities用户活动。
第三步:查看中的受管设备上可用的用户IP映射和用户组映射Analysis > Connections > Events > Table View of Connection Events。
第四步: 修改访问控制策略,将操作临时更改为Monitor,使其更改为根据用户名或用户组条件阻止流量的任何规则。对于允许基于发起方用户或组的流量的规则,请创建允许流量而不使用用户条件的重复规则,然后禁用原始规则。此步骤的目的是确保关键业务流量在维护时段后的测试阶段不会受到影响。
第五步:在维护时段后,在正常工作时间,观察FMC上的连接事件,以监控用户IP映射。请注意,仅当存在需要用户数据的已启用规则时,连接事件才会显示用户信息。这就是在前面步骤中建议执行monitor操作的原因。
第六步:达到所需状态后,只需恢复对访问控制策略所做的更改,并将策略部署推送到受管设备。
相关信息
反馈