Configura agente ID passivo motore Identity Services basato su EVT

Opzioni per il download

  • PDF     (1.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.7 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (924.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 luglio 2021
ID documento:216512

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il nuovo agente ISE Passive Identity Connector (ISE-PIC) introdotto nella versione ISE 3.0, i suoi vantaggi e la configurazione di questo agente sull'ISE. ISE Passive Identity Agent è diventato parte integrante della soluzione Identity Firewall utilizzando anche Cisco FirePower Management Center.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Cisco Identity Services Administration
    • MS-RPC, protocolli WMI
    • Amministrazione di Active Directory

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco Identity Services Engine versione 3.0 e successive
    • Microsoft Windows Server 2016 Standard

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Necessità di un nuovo protocollo

    La funzione di identità passiva (ID passivo) di ISE guida una serie di importanti scenari di utilizzo, tra cui Identity-Based Firewall, EasyConnect, ecc. Questa funzionalità dipende dalla possibilità di monitorare gli utenti che accedono ai controller di dominio Active Directory e di apprenderne il nome utente e l'indirizzo IP. Il protocollo principale attualmente utilizzato per monitorare i controller di dominio è WMI. Tuttavia, è difficile/invasivo da configurare, ha un impatto sulle prestazioni sia dei client che dei server e a volte ha una latenza estremamente ampia nel visualizzare gli eventi di accesso in installazioni scalabili. Dopo approfondite ricerche e metodi alternativi per il polling delle informazioni necessarie per i servizi di identità passiva, è stato deciso un protocollo alternativo, noto come EVT o API di gestione eventi, più efficiente nella gestione di questo caso di utilizzo. È talvolta indicato come MS-EVEN6, noto anche come Eventing Remote Protocol, che è il protocollo RPC sottostante basato su connessioni in rete.

    Vantaggi dell'utilizzo di MS-EVEN6

    Alta disponibilità

    L'agente originale non dispone di un'opzione di elevata disponibilità e, se è necessario eseguire la manutenzione sul server in cui l'agente era in esecuzione o ha subito un'interruzione, gli eventi di accesso non verranno rilevati e funzionalità come il firewall basato su identità potrebbero perdere dati durante questo periodo. Questa è una delle principali preoccupazioni relative all'uso di ISE PIC Agent prima di questa release. ISE utilizza la porta UDP 9095 per lo scambio di heartbeat tra gli agenti.

    Scalabilità

    Il nuovo agente fornisce un supporto migliore con numeri di scala maggiori per un numero supportato di controller di dominio e il numero di eventi che può gestire. Ecco i numeri della scala che sono stati testati:

    • Numero massimo di controller di dominio monitorati (con 2 coppie di agenti): 74
    • Numero massimo di mapping/eventi testati: 292.000 (3.950 eventi per DC)
    • TPS massimo testato: 500

    Architettura di impostazione del test di scalabilità

    Query eventi storici

    In caso di failover o in caso di riavvio del servizio per l'agente PIC, per assicurarsi che non vengano persi dati, gli eventi generati per il periodo di tempo passato vengono interrogati e inviati nuovamente ai nodi PSN. Per impostazione predefinita, ISE richiede 60 secondi di eventi passati dall'avvio del servizio per evitare qualsiasi perdita di dati durante la perdita del servizio.

    Minore sovraccarico di elaborazione

    A differenza di WMI, che richiede un utilizzo intensivo della CPU in caso di carico elevato o su larga scala, EVT non utilizza un numero di risorse così elevato come WMI. I test di scala hanno dimostrato che le prestazioni delle query con l'utilizzo dell'EVT sono notevolmente migliorate.

    Configurazione

    Diagramma connettività

    Configurazioni

    Configurazione di ISE per l'agente PassiveID

    Per configurare i servizi PassiveID, è necessario che i servizi Passive Identity siano abilitati in almeno un nodo PSN (Policy Service Node). Per i servizi di identità passiva che funzionano in modalità attiva/standby è possibile utilizzare un massimo di due nodi. Anche ISE deve essere aggiunto a un dominio Active Directory e solo i controller di dominio presenti nel dominio possono essere monitorati dagli agenti configurati sull'ISE. Per aggiungere ISE a un dominio Active Directory, consultare la Guida all'integrazione di Active Directory.

    Passare a Amministrazione > Sistema > Distribuzione > [Scegliere un PSN] > Modifica per abilitare i servizi di identità passiva, come mostrato di seguito:

    Passare a Centri di lavoro > ID passivo > Provider > Agenti > Aggiungi per distribuire un nuovo agente come mostrato di seguito:

    Nota: 1. Se l'agente deve essere installato da ISE sul controller di dominio, l'account utilizzato deve disporre di privilegi sufficienti per installare un programma ed eseguirlo sul server indicato nel campo FQDN host. L'FQDN host può essere quello di un server membro anziché di un controller di dominio.

              2. Se un agente è già installato manualmente o da una precedente distribuzione ISE, con MSRPC, le autorizzazioni e le configurazioni necessarie sul lato Active Directory o Windows sono inferiori rispetto a WMI, l'altro protocollo (e l'unico disponibile prima della 3.0) utilizzato dagli agenti PIC. L'account utente utilizzato in questo caso può essere un account di dominio normale che fa parte del gruppo Lettori registro eventi. Scegliere Registra agente esistente e utilizzare i dettagli dell'account per registrare l'agente installato manualmente nei controller di dominio.

    Al termine di una distribuzione corretta, configurare un altro agente su un server diverso e aggiungerlo come agente secondario e quindi come peer primario, come illustrato in questa immagine.

     Per monitorare i controller di dominio tramite gli agenti, selezionare Centri di lavoro > ID passivo > Provider > Active Directory > [Fare clic sul punto di join] > ID passivo . Fare clic su Add DCs (Aggiungi controller di dominio) e scegliere i controller di dominio da cui recuperare gli eventi/mapping IP utente, fare clic su OK e quindi su Save (Salva) per salvare le modifiche, come mostrato nell'immagine.

    Per specificare gli agenti da utilizzare per recuperare gli eventi da, selezionare Centri di lavoro > ID passivo > Provider > Active Directory > [Fare clic sul punto di join] > ID passivo. Scegliere i controller di dominio e fare clic su Modifica. Immettere il nome utente e la password. Scegliere Agente, quindi Salva la finestra di dialogo. Fare clic su Save (Salva) nella scheda PassiveID per completare la configurazione.

    È possibile verificare la corretta applicazione della configurazione utilizzando i pulsanti Configure e Test, come mostrato nelle immagini seguenti:

    Informazioni sul file di configurazione di PassiveID Agent

    Il file di configurazione dell'agente PassiveID si trova in C:\Program Files (x86)\Cisco\Cisco ISE PassiveID Agent\PICAgent.exe.config . Il contenuto del file di configurazione è indicato di seguito:

    Verifica

    Verifica dei servizi PassiveID sull'ISE

    1. Verificare che il servizio PassiveID sia abilitato sulla GUI e sia anche contrassegnato come in esecuzione dal comando show application status ise sulla CLI di ISE.


    ISE PROCESS NAME STATE PROCESS ID 
    --------------------------------------------------------------------
    Database Listener running 129052 
    Database Server running 108 PROCESSES
    Application Server running 9830 
    Profiler Database running 5127 
    ISE Indexing Engine running 13361 
    AD Connector running 20609 
    M&T Session Database running 4915 
    M&T Log Processor running 10041 
    Certificate Authority Service running 15493 
    EST Service running 41658 
    SXP Engine Service disabled 
    Docker Daemon running 815 
    TC-NAC Service disabled 
    pxGrid Infrastructure Service disabled 
    pxGrid Publisher Subscriber Service disabled 
    pxGrid Connection Manager disabled 
    pxGrid Controller disabled 
    PassiveID WMI Service running 15951 
    PassiveID Syslog Service running 16531 
    PassiveID API Service running 17093 
    PassiveID Agent Service running 17830 
    PassiveID Endpoint Service running 18281 
    PassiveID SPAN Service running 20253 
    DHCP Server (dhcpd) disabled 
    DNS Server (named) disabled 
    ISE Messaging Service running 1472 
    ISE API Gateway Database Service running 4026 
    ISE API Gateway Service running 7661 
    Segmentation Policy Service disabled 
    REST Auth Service disabled 
    SSE Connector disabled

    2. Verificare se il provider ISE Active Directory è connesso ai controller di dominio nei centri di lavoro > ID passivo > Provider > Active Directory > Connessione.

    3. Verificare se i controller di dominio richiesti sono controllati dall'agente in Centri di lavoro > ID passivo > Provider > Active Directory > ID passivo.

    4. Verificare se lo stato dei controller di dominio monitorati è attivo, ovvero contrassegnato in verde sul dashboard in Centri di lavoro > ID passivo > Panoramica > Dashboard.

      

    5. Verificare che le sessioni attive vengano popolate quando viene registrato un accesso Windows nel controller di dominio in Centri di lavoro > ID passivo > Panoramica > Sessioni attive.

    Verifica servizi agente su Windows Server

    1. Verificare il servizio ISEPICAgent sul server in cui è installato l'agente PIC.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    10-Dec-2020
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Surendra Kanala
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti