In questo documento viene descritto come configurare l'origine dell'agente di identità passivo che invia i dati della sessione a FMC
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Prima di configurare l'agente, completare l'integrazione di AD e FMC.
Nell'interfaccia utente di FMC, selezionare Integrazione > Altre integrazioni > Origini identità, quindi fare clic su Agente di identità passivo. Se Cisco Secure Dynamic Attributes Connector non è stato ancora abilitato, verrà richiesto di farlo facendo clic su Abilita CSDAC.
Passive Identity Agent
Fare clic sul pulsante Abilita per abilitare CSDAC.
Abilita CSDAC
Questa operazione richiede circa 10 minuti. Una volta che il CSDAC è stato abilitato correttamente, fare clic sul pulsante Donebutton per procedere.
CSDAC abilitato
Fare clic sul pulsante Crea agente.
Crea agente
Definire un nome per l'agente, selezionare l'opzione Standalone e associarlo al controller di dominio appropriato creato nell'attività precedente.
Configura agente
Fare clic sul pulsante Salva.
Salvare la configurazione
Il risultato.
Verifica dello stato
Nota: L'agente di identità passiva indica lo stato utilizzando delle righe. Il colore ambra indica che l'agente non ha mai comunicato correttamente con il centro di gestione Secure Firewall. Una nuova linea dell'agente è di colore ambra e rimane tale fino al completamento della configurazione.
Creare un utente di Centro gestione firewall sicuro con autorizzazioni sufficienti per comunicare con l'agente di identità passiva. L'utente dispone di privilegi limitati per eseguire altre attività. l'utente deve abilitare solo la comunicazione con l'agente di identità passiva.
Nell'interfaccia utente di FMC, selezionare Sistema > Utenti e fare clic su Crea utente. Immettere i dettagli utente in base ai requisiti del task.
Crea utente
Assegnare solo il ruolo Utente identità passiva. Fare clic sul pulsante Salva.
selezionare l'utente dell'identità passiva
Installare e configurare il software Passive Identity Agent nel controller di dominio designato.
Scaricare l'agente di identità passiva da software.cisco.com.
scaricare il software
Dopo aver scaricato l'agente, avviare il processo di installazione nel controller di dominio.
agente]
Fare riferimento alle istruzioni di installazione fornite per completare l'installazione.
Install
Una volta completata l'installazione, aprire il software Passive Identity Agent e immettere le informazioni richieste come specificato nei requisiti del task. Fare clic sul pulsante Test per verificare la connettività con FMC.
configurare l'agente.
Dopo aver verificato la connettività, fare clic sul pulsante Salva.
test
Fare clic sul pulsante OK per completare la configurazione dell'agente.
agente in esecuzione
Nell'interfaccia utente di FMC, selezionare Integrazione > Altre integrazioni > Origini identità > Agente identità passiva. Confermare che l'Agente identità passiva visualizzi uno stato verde.
verifica la comunicazione da fmc
Creare un criterio di identità in base alla tabella fornita.
| Nome criterio |
Nome regola |
Realm di autenticazione |
Impostazioni rimanenti |
| LAB-Identity-Policy |
Regola1 |
Area di autenticazione |
Lascia come predefinito |
Nell'interfaccia utente di FMC passare a Criteri > Controllo di accesso > Identità. Fare clic sul pulsante Nuovo criterio.
nuovo criterio
Immettere il nome del criterio in base ai requisiti dell'attività.
nuovo criterio
Fare clic sul pulsante Aggiungi regola.
crea regola
Passare alla scheda Realm e impostazioni e selezionare il realm di autenticazione in base ai requisiti del task. Infine, fare clic sul pulsante Aggiungi.
Impostazione realm
Fare clic sul pulsante Salva.
salvare la configurazione
Collegare il criterio di identità al criterio di controllo dell'accesso e creare una regola di criterio di accesso con gli attributi riportati di seguito.
| Nome attributo |
Valore |
| Nome regola |
Regola1 |
| Azione |
Allow (Autorizza) |
| Zona di origine |
Interno |
| Zona di destinazione |
Esterno |
| Reti di origine |
10.10.10.0/24 |
| Reti di destinazione |
10.48.62.98/32 |
| Servizio |
HTTP (Dest Port TCP 80) |
| Utenti |
LAB-Realm/GROUP1 |
| Registrazione |
Alla fine della connessione |
Passaggio 1. Collegare il criterio di identità al criterio di controllo di accesso
Nell'interfaccia utente di FMC, selezionare Policy > Controllo di accesso > Controllo di accesso. Fare clic sul pulsante Modifica relativo al criterio.
Modifica criterio
Passare alla sezione Identity e collegare il criterio di identità creato nell'attività precedente.
aggiungi criterio di identitàFare clic sul pulsante Applica
Passaggio 2. Creare la regola di controllo di accesso.
crea ACP
Immettere i dettagli in base ai requisiti dell'attività e, soprattutto, nella scheda Utente, addGROUP1fromLAB-Realm.
aggiungere utenti alla regola
Abilitare la registrazione per la regola selezionando Log alla fine della connessione.
abilitare la registrazione
Passaggio 3. Abilitare la registrazione per l'azione predefinita.
Fare clic sull'icona Impostazioni per modificare le impostazioni di registrazione delle azioni predefinite.
Abilita registrazione
Salvare e distribuire la configurazione sull'FTD.
Verificare l'operazione di identità passiva confermando che il traffico è consentito esclusivamente per ftd.
Accedere all'utente del dominio dal computer dell'utente.
accesso utente
Dopo che un utente ha eseguito correttamente l'accesso, verificare da FMC in Analisi > utente > sessione attiva per visualizzare i dettagli dell'utente attivo.
Sessioni attive
Dopo aver avviato la verifica del traffico dagli eventi di connessione, vedere i dettagli utente negli eventi di connessione.
Sessioni attive
Sul computer Windows che ospita l'agente, aprire Task Manager e verificare che il processo in background CiscoPassiveIdentityAgentService sia in esecuzione.
Attività in esecuzione
I registri dell'agente sono disponibili nei file CiscoPassiveIdentityAgent, che per impostazione predefinita si trovano in: "C:\Program Files (x86)\Cisco\Cisco Passive Identity Agent\".
agente
Per impostazione predefinita, i log dell'agente sono impostati sul livello INFO. Per abilitare la registrazione a livello DEBUG, modificare CiscoPassiveIdentityAgentService.exe.configfile e impostare il livello di registrazione su ALLo DEBUG.
configurazione agente
registro informazioni
Controllo dei registri dell'agente - Recupero della configurazione dell'agente.
Client inattivo INFO, eventi in blocco: [f"domain":"games.cisco.com", "srcIpAddress": "X.X.X.X", "user": "fdm", "timestamp": "2026-07-01T19
Client inattivo INFO, stato mapping: OK
INFO Rest Client, POST REST riuscito per userBatch fdm, latenza = 0, ora corrente DC in UTC: 07/01/2026 19:47:34 Utente registrato a
INFO Rest Client, richiesta configurazione agente
Eseguire questo comando per verificare se il mapping utente-IP è stato ricevuto dall'agente.
uscita fmc
Se il comando precedente non mostra alcuna mappatura, raccogliere i log e contattare Cisco TAC.
Elenco dei registri pertinenti per l'API del CCP. Il log di coda racchiude tutti questi elementi.
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
16-Jul-2026
|
Versione iniziale |