المقدمة
يصف هذا المستند وكيل ISE Passive Identity Connector (ISE-PIC) الجديد الذي تم تقديمه في إصدار ISE 3.0، ومزاياه، وتكوين هذا العميل على ISE. أصبح وكيل ISE Passive Identity جزءا لا يتجزأ من حل جدار حماية الهوية باستخدام مركز إدارة FirePOWER من Cisco أيضا.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- إدارة خدمات الهوية من Cisco
- بروتوكولات MS-RPC و WMI
- إدارة Active Directory
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Identity Services Engine، الإصدار 3.0 والإصدارات الأحدث
- نظام التشغيل Microsoft Windows Server 2016 Standard
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الحاجة إلى بروتوكول جديد
تدفع ميزة الهوية السلبية (PASSIVE ID) الخاصة ب ISE عددا من حالات الاستخدام الهامة بما في ذلك جدار الحماية المستند إلى الهوية و EasyConnect، وما إلى ذلك. تعتمد هذه الميزة على إمكانية مراقبة المستخدمين الذين يقومون بتسجيل الدخول إلى وحدات التحكم في مجال Active Directory وتعلم اسم المستخدم وعناوين IP الخاصة بهم. البروتوكول الرئيسي الحالي الذي نستخدمه لمراقبة وحدات التحكم بالمجال هو WMI. ومع ذلك، فإنه من الصعب/غير المباشر التكوين، كما أن له تأثير على الأداء على كل من العملاء والخوادم، كما أنه يتميز أحيانا بزمن وصول كبير للغاية في مشاهدة أحداث تسجيل الدخول في عمليات النشر واسعة النطاق. وبعد إجراء بحث مستفيض وطرائق بديلة لاستطلاع المعلومات المطلوبة لخدمات الهوية السلبية، تم إتخاذ قرار بشأن بروتوكول بديل - يعرف باسم EVT أو Eventing API، وهو أكثر كفاءة في معالجة حالة الاستخدام هذه. ويشار إليه في بعض الأحيان باسم MS-Even6، والمعروف أيضا باسم Eventing Remote Protocol، وهو البروتوكول الأساسي القائم على RPC والقائم على السلك.
مزايا إستخدام MS-EVEN6
الإتاحة العالية
لم يكن لدى العميل الأصلي خيار توافر عال وإذا لزم إجراء صيانة على الخادم حيث كان العميل قيد التشغيل أو في حالة انقطاع، فسيتعذر تسجيل الدخول، وستفقد بعض الميزات مثل جدار الحماية المستند إلى الهوية البيانات خلال هذه الفترة. وهذا هو أحد الشواغل الرئيسية فيما يتعلق باستخدام وكيل ISE PIC قبل هذا الإصدار. يستخدم ISE منفذ UDP 9095 لتبادل نبضات القلب بين العملاء.
قابلية التطوير
يوفر البرنامج الوكيل الجديد دعما أفضل مع زيادة أرقام المقياس لعدد مدعوم من وحدات التحكم بالمجال وعدد الأحداث التي يمكن معالجتها. ها هي أرقام المقياس التي تم إختبارها :
- الحد الأقصى لعدد وحدات التحكم بالمجال التي تم رصدها (مع زوجين من البرامج): 74
- الحد الأقصى لعدد التعيينات/الأحداث التي تم إختبارها: 292 000 (3950 حدثا لكل تيار مستمر)
- الحد الأقصى لمنافذ المنتج المختبرة: 500
تطوير بنية إعداد الاختبار
استعلام الأحداث التاريخية
في حالة تجاوز الفشل أو في حالة إعادة تشغيل الخدمة لعامل PIC، لضمان عدم فقد أية بيانات، يتم الاستعلام عن الأحداث التي تم إنشاؤها لمبلغ الوقت المحدد في الماضي وإرسالها إلى عقد PSN مرة أخرى. وبشكل افتراضي، يتم الاستعلام من ISE عن الأحداث السابقة التي تقع منذ بدء الخدمة بقيمة 60 ثانية لرفض أي فقد للبيانات أثناء فقدان الخدمة.
تكاليف معالجة أقل
وعلى عكس WMI التي تتميز بكثافة وحدة المعالجة المركزية (CPU) تحت نطاق واسع أو الحمل الثقيل، فإن تقنية EVT لا تستهلك هذا العدد الكبير من الموارد التي تستهلكها واجهة WMI. وأظهرت إختبارات القياس أداء محسنا كثيرا للاستفسارات باستخدام تقنية EVT.
التكوين
الرسم التخطيطي للاتصال
التكوينات
تكوين ISE لوكيل PassiveID
لتكوين خدمات PassiveID، يجب تمكين خدمات Passive Identity على عقدة خدمة سياسة واحدة (PSN) على الأقل. يمكن إستخدام عقدتين كحد أقصى لخدمات الهوية الخاملة التي تعمل في وضع التشغيل النشط/الاحتياطي. يجب أيضا انضمام ISE إلى مجال Active Directory ويمكن فقط مراقبة وحدات التحكم بالمجال هذه الموجودة في هذا المجال بواسطة "وكلاء" تم تكوينهم على ISE. للانضمام إلى ISE إلى مجال Active Directory، ارجع إلى دليل تكامل Active Directory.
انتقل إلى إدارة > نظام > نشر > [أختر PSN] > تحرير لتمكين خدمات الهوية الخاملة كما هو موضح هنا :
انتقل إلى مراكز العمل > PassiveID > موفرات > وكلاء > إضافة لنشر وكيل جديد كما هو موضح هنا :
ملاحظة: 1. إذا تم تخطيط الوكيل ليتم تثبيته بواسطة ISE على وحدة التحكم بالمجال، فيجب أن يكون للحساب المستخدم هنا امتيازات كافية لتثبيت برنامج وتشغيله على الخادم المذكور في حقل FQDN المضيف. يمكن أن يكون FQDN المضيف هنا هو خادم عضو بدلا من وحدة تحكم بالمجال.
2. إذا تم تثبيت عميل بالفعل يدويا أو من عملية نشر سابقة من ISE، مع MSRPC، فإن الأذونات والتكوينات اللازمة على جانب Active Directory أو Windows تكون أقل مقارنة ب WMI، والبروتوكول الآخر (والبروتوكول الوحيد المتاح قبل 3.0) الذي تستخدمه عوامل PIC. يمكن أن يكون حساب المستخدم المستخدم المستخدم في هذه الحالة حساب مجال عادي وهو جزء من مجموعة قراء سجل الأحداث. أختر تسجيل الوكيل الموجود واستخدم تفاصيل الحساب هذه لتسجيل الوكيل الذي تم تثبيته يدويا على وحدات التحكم بالمجال.
بعد عملية نشر ناجحة، قم بتكوين عامل آخر على خادم مختلف وأضفه كعميل ثانوي ثم نظيره الأساسي كما هو موضح في هذه الصورة.
من أجل مراقبة وحدات التحكم بالمجال باستخدام الوكلاء، انتقل إلى مراكز العمل > PassiveID > موفري الخدمات > Active Directory > [انقر على نقطة الربط] > PassiveID . انقر فوق إضافة وحدات التحكم بالمجال واختر وحدات التحكم بالمجال التي يتم إسترداد أحداث/تعيين User-IP منها وانقر فوق موافق ثم انقر فوق حفظ لحفظ التغييرات، كما هو موضح في هذه الصورة.
لتحديد الوكلاء الذين يجب إستخدامهم لاسترداد الأحداث منهم، انتقل إلى مراكز العمل > PassiveID > موفري الخدمات > Active Directory > [انقر فوق نقطة الربط] > PassiveID. أختر وحدات التحكم بالمجال وانقر فوق تحرير. أدخل اسم المستخدم وكلمة المرور. أختر عميل ثم احفظ الشاشة. انقر فوق حفظ في علامة التبويب PassiveID لإكمال التكوين.
يمكن للمرء التحقق من تطبيق التكوين بشكل صحيح باستخدام أزرار التكوين والاختبار كما هو موضح في الصور هنا:
فهم ملف تكوين وكيل PassiveID
يتواجد ملف تكوين عامل PassiveID في C:\Program files (x86)\Cisco\Cisco ISE PassiveID Agent\PICAgent.exe.config . يحتوي ملف التكوين على محتوى موضح هنا :
التحقق من الصحة
التحقق من خدمات PassiveID على ISE
1. تحقق من تمكين خدمة PassiveID على واجهة المستخدم الرسومية (GUI) ومن وضع علامة أيضا على قيد التشغيل من الأمر show application status على واجهة سطر الأوامر (CLI) الخاصة ب ISE.
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 129052
Database Server running 108 PROCESSES
Application Server running 9830
Profiler Database running 5127
ISE Indexing Engine running 13361
AD Connector running 20609
M&T Session Database running 4915
M&T Log Processor running 10041
Certificate Authority Service running 15493
EST Service running 41658
SXP Engine Service disabled
Docker Daemon running 815
TC-NAC Service disabled
pxGrid Infrastructure Service disabled
pxGrid Publisher Subscriber Service disabled
pxGrid Connection Manager disabled
pxGrid Controller disabled
PassiveID WMI Service running 15951
PassiveID Syslog Service running 16531
PassiveID API Service running 17093
PassiveID Agent Service running 17830
PassiveID Endpoint Service running 18281
PassiveID SPAN Service running 20253
DHCP Server (dhcpd) disabled
DNS Server (named) disabled
ISE Messaging Service running 1472
ISE API Gateway Database Service running 4026
ISE API Gateway Service running 7661
Segmentation Policy Service disabled
REST Auth Service disabled
SSE Connector disabled
2. تحقق مما إذا كان موفر ISE Active Directory متصلا بوحدات التحكم بالمجال في مراكز العمل > PassiveID > موفري الخدمات > Active Directory > Connection.
3. تحقق مما إذا كانت وحدات التحكم بالمجال المطلوبة يتم مراقبتها بواسطة الوكيل في مراكز العمل > PassiveID > موفرو الخدمات > Active Directory > PassiveID.
4. تحقق مما إذا كانت حالة وحدات التحكم بالمجال التي يتم رصدها قيد التشغيل، أي، تم وضع علامة خضراء على لوحة المعلومات في مراكز العمل > PassiveID > نظرة عامة > لوحة المعلومات.
5. تحقق من تشغيل جلسات العمل المباشرة عند تسجيل تسجيل تسجيل دخول Windows على وحدة التحكم بالمجال في مراكز العمل > PassiveID > نظرة عامة > جلسات عمل مباشرة.
التحقق من خدمات الوكيل على خادم Windows
1. تحقق من خدمة ISEPICAgent على الخادم حيث تم تثبيت وكيل PIC.