はじめに
このドキュメントでは、User Agent(UAC)からFirepower User AgentのIdentity Services Engine(ISE)に移行する方法について説明します。
背景説明
今後のリリースでは、Firepowerユーザエージェントは使用できなくなります。 これは、ISEまたはIdentity Services Engine – パッシブIDコネクタ(ISE-PIC)に置き換えられます。 現在ユーザエージェントを使用していて、ISEへの移行を検討している場合は、このドキュメントで移行に関する考慮事項と戦略を説明します。
ユーザIDの概要
現在、既存のアイデンティティインフラストラクチャからユーザID情報を抽出するには、ユーザエージェントとISEの統合の2つの方法があります。
ユーザエージェント
ユーザエージェントは、Windowsプラットフォームにインストールされるアプリケーションです。Windows Management Instrumentation(WMI)プロトコルを使用して、ユーザログオンイベント(イベントタイプ4624)にアクセスし、データをローカルデータベースに保存します。ユーザエージェントがログオンイベントを取得する方法は2つあります。1つは、ユーザのログイン時にリアルタイムで更新される方法(Windows Server 2008および2012のみ)、もう1つは、設定可能な間隔ごとにデータをポーリングする方法です。同様に、ユーザエージェント(UA)はActive Directory(AD)から受信したデータをリアルタイムでFirepower Management Center(FMC)に送信し、ログオンデータのバッチを定期的にFMCに送信します。
User Agentが検出できるログインのタイプには、ホストへの直接またはリモートデスクトップ経由のログイン、ファイル共有ログイン、コンピュータアカウントログインなどがあります。Citrix、ネットワークログオン、Kerberosログインなどの他のタイプのログインは、ユーザエージェントではサポートされていません。
User Agentには、マッピングされたユーザがログオフしたかどうかを検出するオプションの機能があります。ログオフチェックが有効な場合、マップされた各エンドポイントでexplorer.exeプロセスが実行されているかどうかが定期的にチェックされます。実行中のプロセスを検出できない場合、72時間後にこのユーザのマッピングは削除されます。
Identity Services Engine
ISEは、ユーザのネットワークログインセッションを管理する堅牢なAAAサーバです。ISEは、スイッチやワイヤレスコントローラなどのネットワークデバイスと直接通信するため、ユーザのアクティビティに関する最新データにアクセスでき、ユーザエージェントよりも優れたアイデンティティソースとなります。ユーザがエンドポイントにログオンすると、通常は自動的にネットワークに接続されます。ネットワークでdot1x認証が有効になっている場合、ISEはこれらのユーザ用の認証セッションを作成し、ユーザがネットワークからログオフするまでアクティブな状態を維持します。ISEがFMCと統合されている場合、ユーザIPマッピング(およびISEによって収集されるその他のデータ)データをFMCに転送します。
ISEは、pxGridを介してFMCと統合できます。pxGridは、ISEサーバ間および他の製品との間でのセッション情報の配布を一元化するように設計されたプロトコルです。この統合では、ISEがpxGridコントローラとして機能し、セッションデータを受信するためにFMCがコントローラに登録し(FMCは後で説明する修復中を除いて、データをISEに公開しません)、ユーザ認識を実現するためにそのデータをセンサーに渡します。
Identity Services Engine:パッシブIDコネクタ(ISE-PIC)
Identity Services Engine(ISE):Passive Identity Connector(ISE-PIC)は、基本的に制限付きライセンスを持つISEのインスタンスです。ISE-PICは認証を実行しませんが、代わりにネットワーク内のさまざまなアイデンティティソースの中央ハブとして機能し、アイデンティティデータを収集して加入者に提供します。ISE-PICは、ADからログインイベントを収集するためにWMIを使用する点でユーザエージェントに似ていますが、パッシブIDと呼ばれるより堅牢な機能があります。また、pxGridを介してFMCとも統合されます。
移行の考慮事項
ライセンス要件
FMCには追加ライセンスは必要ありません。ISEがインフラストラクチャにまだ導入されていない場合は、ライセンスが必要です。詳細については、『Cisco ISEライセンスモデル』を参照してください。 ISE-PICは完全なISE導入に既に存在する機能セットであるため、既存のISE導入がある場合は追加ライセンスは必要ありません。ISE-PICの新規または個別の導入については、『Cisco ISE-PIC Licensing』ドキュメントを参照してください。
SSL証明書
User AgentはFMCおよびADとの通信に公開キーインフラストラクチャ(PKI)を必要としませんが、ISEまたはISE-PICの統合では、認証の目的でのみISEとFMCの間で共有されるSSL証明書が必要です。サーバ認証とクライアント認証拡張キー使用法(EKU)の両方が証明書に追加されている場合、統合では認証局(CA)署名付き証明書と自己署名付き証明書がサポートされます。
アイデンティティソースカバレッジ
User Agentは、ポーリングベースのログアウト検出を使用して、WindowsデスクトップからのWindowsログインイベントのみを対象とします。ISE-PICは、Windowsデスクトップログインに加えて、ADエージェント、Kerberos SPAN、Syslogパーサー、ターミナルサービスエージェント(TSA)などの追加のアイデンティティソースを対象とします。 フルISEは、すべてのISE-PICに加えて、Windows以外のワークステーションやモバイルデバイスからのネットワーク認証などの機能をカバーしています。
|
ユーザエージェント
|
ISE-PIC
|
ISE
|
|
Active Directoryデスクトップログオン
|
Yes
|
Yes
|
Yes
|
|
ネットワークログオン
|
いいえ
|
いいえ
|
Yes
|
|
エンドポイントプローブ
|
Yes
|
Yes
|
Yes
|
|
InfoBlox/IPAM
|
いいえ
|
Yes
|
Yes
|
|
[LDAP]
|
いいえ
|
Yes
|
Yes
|
|
セキュアWebゲートウェイ
|
いいえ
|
Yes
|
Yes
|
|
REST APIソース
|
いいえ
|
Yes
|
Yes
|
|
Syslogパーサ
|
いいえ
|
Yes
|
Yes
|
|
ネットワークスパン
|
いいえ
|
Yes
|
Yes
|
ユーザエージェントのサポート終了
User AgentをサポートするFirepowerの最後のバージョンは6.6です。このバージョンでは、ユーザエージェントを無効にしてから以降のリリースにアップグレードするように警告が表示されます。6.6より後のバージョンへのアップグレードが必要な場合は、アップグレード前にユーザエージェントからISEまたはISE-PICへの移行を完了する必要があります。詳細については、『ユーザエージェント設定ガイド』を参照してください。
互換性
統合に含まれるソフトウェアバージョンに互換性があることを確認するには、Firepower製品の互換性ガイドを参照してください。将来のFirepowerリリースでは、それ以降のISEバージョンのサポートに特定のパッチレベルが必要になることに注意してください。
移行戦略
ユーザエージェントからISEまたはISE-PICへの移行では、FMCのユーザIDソースのスムーズな移行を保証し、ユーザトラフィックへの影響を回避するために、慎重な計画、実行、およびテストが必要です。このセクションでは、この課題のベストプラクティスと推奨事項について説明します。
移行の準備
ユーザエージェントからISE統合に切り替える前に、次の手順を実行できます。
ステップ 1:PassiveIDを有効にし、Active DirectoryとのWMI接続を確立するようにISEまたはISE-PICを設定します。『ISE-PIC管理ガイド』を参照してください。
ステップ 2:FMCのID証明書を準備します。これは、プライベートまたはパブリックの認証局(CA)によって署名されるように、FMCによって発行された自己署名証明書、またはFMCで生成された証明書署名要求(CSR)のいずれかです。 CAの自己署名証明書またはルート証明書がISEにインストールされている必要があります。詳細については、『ISEとFMCの統合ガイド』を参照してください。
ステップ 3:ISEのpxGrid証明書に署名したCAルート証明書(自己署名の場合はpxGrid証明書)をFMCにインストールします。詳細については、『ISEとFMCの統合ガイド』を参照してください。
カットオーバープロセス
FMCとISEの統合は、FMCのユーザエージェント設定を無効にしないと設定できません。これは、この2つの設定が相互に排他的であるためです。これは、変更中にユーザに影響を与える可能性があります。これらの手順は、メンテナンスの時間帯に実行することを推奨します。
ステップ 1:FMC-ISE統合を有効にし、確認します。詳細については、『ISEとFMCの統合ガイド』を参照してください。
ステップ 2:FMCでAnalysis > User > User Activitiesページに移動して、ユーザアクティビティがFMCに報告されていることを確認します。
ステップ 3:管理対象デバイスでユーザIPマッピングおよびユーザグループマッピングを使用できることを、分析>接続>イベント>接続イベントのテーブルビューから確認します。
ステップ 4: ユーザ名またはユーザグループの状態に応じてトラフィックをブロックするルールに対するアクションを一時的にMonitorに変更するために、アクセスコントロールポリシーを変更します。発信側のユーザまたはグループに基づいてトラフィックを許可するルールの場合は、ユーザ基準のないトラフィックを許可する重複ルールを作成してから、元のルールを無効にします。このステップの目的は、メンテナンス期間後のテスト段階で、ビジネスクリティカルなトラフィックに影響を与えないようにすることです。
ステップ 5:メンテナンスウィンドウの後、通常の営業時間内に、ユーザとIPのマッピングをモニタするためにFMCの接続イベントを確認します。接続イベントでユーザー情報が表示されるのは、ユーザーデータを必要とするルールが有効になっている場合だけです。これが、前述の手順でモニタアクションが推奨される理由です。
手順 6:目的の状態になったら、アクセスコントロールポリシーに加えた変更を元に戻し、ポリシーの展開を管理対象デバイスにプッシュするだけです。
関連情報
フィードバック