Intégration de SWA à SMA

Introduction

Ce document décrit le processus d'intégration de l'appliance Web sécurisé (SWA) à l'appliance de gestion de la sécurité (SMA).

Conditions préalables

Exigences

Cisco recommande de connaître les sujets suivants :

• Accès à l'interface utilisateur graphique (GUI) de SWA.

• Accès administratif au SWA.
• Accès administratif au SMA.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Avant de commencer

1. Assurez-vous que le SMA et le SWA sont tous deux sous licence. 

2. Vérifiez la matrice de compatibilité du SWA et du SMA, utilisez ce lien : Matrice de compatibilité SWA-SMA-ESA.

Remarque : Assurez-vous que la version que vous prévoyez d'intégrer n'est pas désapprovisionnée.

Image - Versions désapprovisionnées

Étapes d'intégration de SWA à SMA 

Correction des erreurs 

"Les services centralisés sont désactivés"

Lorsque vous essayez de sélectionner un service centralisé, si la case est inactive, cliquez sur le point d'interrogation (?) et le guide vous guide dans le chemin pour activer ce service.

Image - Les services centralisés sont désactivés

"Échec de l'authentification pour IP"

Lorsque vous intégrez le SWA à SMA si vous recevez cette erreur, assurez-vous que l'adresse IP ou le nom d'hôte et les informations d'identification sont corrects.

Image - Échec de l'authentification

"Cisco Centralized Web Reporting est désactivé dans le SWA"

Si le SMA est configuré avec le rapport Web centralisé et que vous attribuez cette fonctionnalité au SWA tout en intégrant le SWA au SMA à l'"étape 4", vous devez activer le rapport Web centralisé de Cisco :

Image - La fonction de rapport Web centralisé est désactivée dans le SWA

Pour résoudre le problème, connectez-vous au SWA à partir de l'interface de ligne de commande et tapez reportingconfig et sélectionnez CENTRALIZED, suivez les instructions de l'assistant pour activer le rapport centralisé et valider les modifications.

SWA_CLI> reportingconfig

Choose the operation you want to perform:
- COUNTERS - Limit counters recorded by the reporting system.
- WEBTRACKINGQUERYTIMEOUT - Timeout value for Webtracking Queries.
- AVERAGEOBJECTSIZE - Average HTTP Object Size used for Bandwidth Savings Calculation.
- WEBEVENTBUCKETING - Enable or Disable web transaction event bucketing.
- CTROBSERVABLE - Enable or Disable CTR observable based indexing.
- CENTRALIZED - Enable/Disable Centralized Reporting for this Secure Web Appliance.
[]> CENTRALIZED

Reporting service status: Local Reporting enabled.  (Show usernames in reports.)

Do you want to enable Centralized Reporting for this appliance? [N]> Y

Do you want to anonymize usernames in reports? [N]> N

Reporting service status: Centralized Reporting enabled.  (Show usernames in reports.)


Choose the operation you want to perform:
- COUNTERS - Limit counters recorded by the reporting system.
- WEBTRACKINGQUERYTIMEOUT - Timeout value for Webtracking Queries.
- AVERAGEOBJECTSIZE - Average HTTP Object Size used for Bandwidth Savings Calculation.
- WEBEVENTBUCKETING - Enable or Disable web transaction event bucketing.
- CTROBSERVABLE - Enable or Disable CTR observable based indexing.
- CENTRALIZED - Enable/Disable Centralized Reporting for this Secure Web Appliance.
[]>

SWA_CLI> commit

"La liste des catégories d'URL sur cette WSA était plus ancienne que la liste publiée à partir du SMA"

Si, lors de la publication de la configuration sur SWA et de la réception de l'erreur, la liste des catégories d'URL dans SWA et SMA n'est pas identique, assurez-vous que les deux périphériques peuvent se connecter à Cisco Update Server et qu'il n'y a pas d'erreurs dans les "updater_logs" :

Image - La liste des catégories d'URL ne correspond pas

Pour forcer le SWA ou le SMA à télécharger la mise à jour, à partir de l'interface de ligne de commande, tapez updatenow.

Pour afficher le SMA ou le SMA, Journaux liés à la mise à jour, à partir de l'interface de ligne de commande, tapez grep et choisissez le numéro associé à updater_logs et suivez les instructions de l'assistant

Conseil : pour afficher les journaux en direct, tapez "Y" dans la réponse à Voulez-vous suivre les journaux ? [N]>.

"La clé d'hôte semble avoir changé"

Si vous intégrez le SWA au SMA et recevez l'erreur indiquant que la clé d'hôte a été modifiée, cela est dû au fait que SMA a stocké une autre clé d'hôte pour la même adresse IP dans son magasin de clés.

Image : la clé d'hôte semble avoir été modifiée

Pour corriger cette erreur, connectez-vous à l'interface de ligne de commande de SMA, exécutez logconfig et entrez HOSTKEYCONFIG. Tapez DELETE et appuyez sur Entrée. Ensuite, sélectionnez le numéro associé au SWA et appuyez sur Entrée jusqu'à ce que l'Assistant ait terminé. 

Validez les modifications :

SMA_CLI> logconfig

Currently configured logs:
    Log Name            Log Type                      Retrieval           Interval
 ---------------------------------------------------------------------------------
 1. aggregatord_logs    Aggregatord Logs              Manual Download     None
 2. authentication      Authentication Logs           Manual Download     None
...

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- DELETELOGFILE - Delete log files
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> HOSTKEYCONFIG

Currently installed host keys:
1. 10.48.48.182 ssh-rsa AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...ZhW4gEXWE=
2. 10.48.48.181 ssh-rsa BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBb...4p74b9Q9k=

Choose the operation you want to perform:
- NEW - Add a new key.
- EDIT - Modify a key.
- DELETE - Remove a key.
- SCAN - Automatically download a host key.
- PRINT - Display a key.
- HOST - Display system host keys.
- FINGERPRINT - Display system host key fingerprints.
- USER - Display system user keys.
- REGENERATESCPKEYS - Regenerate SSH Keys for SCP Log Subscription Retrieval.
[]> DELETE

Enter the number of the key you wish to delete.
[]> 2

Currently installed host keys:
1. 10.62.131.143 ssh-rsa AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...ZhW4gEXWE=

...
SMA_CLI> commit

Informations connexes

• Guide de l'utilisateur d'AsyncOS 15.2 pour Cisco Secure Web Appliance
• Installer l'appliance Web sécurisée sur VMware ESXi
• Installer l'appliance Web sécurisée sur Microsoft Hyper-V

• Configuration initiale de Secure Web Appliance

• Guide d'installation de l'appliance virtuelle Cisco Secure Email and Web
• Configurer des catégories d'URL personnalisées dans Secure Web Appliance - Cisco

• Utilisation des meilleures pratiques de sécurisation des appliances Web

• Configurer le pare-feu pour l'appliance Web sécurisée

• Configurer le certificat de déchiffrement dans l'appareil Web sécurisé

• Dépannage du service DNS de l'appliance Web sécurisée