このドキュメントでは、セッションデータをFMCに送信するパッシブIDエージェントソース(PID)を設定する方法について説明します
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
エージェントを設定する前に、ADとFMCの統合を完了してください。
FMC UIで、Integration > Other Integrations > Identity Sourcesの順に移動し、Passive Identity Agentをクリックします。 Cisco Secure Dynamic Attributes Connectorがまだ有効になっていない場合は、Enable CSDACをクリックして有効にするように求められます。
パッシブIDエージェント
CSDACを有効にするには、[有効]ボタンをクリックします。
CSDACを有効にする
このステップには約10分かかります。CSDACが正しく有効化されたら、「Donebutton」をクリックして続行します。
CSDAC有効
Create Agentbuttonをクリックします。
エージェントの作成
エージェントの名前を定義し、Standaloneoptionを選択して、前のタスクで作成した適切なDomainコントローラに関連付けます。
エージェントの設定
「保存」ボタンをクリックします。
設定の保存
結果です。
ステータスの確認
注:パッシブIDエージェントは回線を使用してステータスを示します。オレンジ色の場合、エージェントがSecure Firewall Management Centerと正常に通信していないことを示します。新しく作成されたエージェント回線はオレンジ色で、設定が完了するまでオレンジ色のままです。
パッシブIDエージェントと通信するために十分な権限を持つセキュアファイアウォール管理センター(FMC)ユーザを作成します。 このユーザには、他のタスクを実行する権限が制限されています。ユーザは、パッシブIDエージェントとの通信のみを有効にすることが想定されています。
FMCのUIで、System > Usersに移動し、Create Userをクリックします。タスクの要件に従って、ユーザの詳細を入力します。
ユーザーの作成
パッシブIDユーザロールのみを割り当てます。「保存」ボタンをクリックします。
パッシブidユーザの選択
指定されたドメインコントローラにPassive Identity Agentソフトウェアをインストールして設定します。
software.cisco.comからpassive identity agentをダウンロードします。
ソフトウェアのダウンロード
エージェントをダウンロードしたら、ドメインコントローラでインストールプロセスを開始します。
エージェント]
セットアップを完了するには、付属のインストール手順を参照してください。
インストールするもの
インストールが完了したら、Passive Identity Agentソフトウェアを開き、タスク要件で指定されている必要な情報を入力します。Testボタンをクリックして、FMCとの接続を確認します。
エージェントを設定します。
接続のテストが正常に終了したら、「保存」ボタンをクリックします。
テスト
OKボタンをクリックして、エージェントの設定を完了します。
エージェントは実行中です
FMCのUIで、Integration > Other Integrations > Identity Sources > Passive Identity Agentの順に移動します。 パッシブIDエージェントが緑色のステータスを表示していることを確認します。
fmcからの通信の確認
提供されたテーブルに基づいてアイデンティティポリシーを作成します。
| ポリシー名 |
ルール名 |
認証レルム |
残りの設定 |
| ラボIDポリシー |
ルール1 |
ラボ領域 |
デフォルトのままにする |
FMCのUIで、Policies > Access Control > Identityの順に移動します。New Policybuttonをクリックします。
新しいポリシー
タスクの要件に従ってポリシー名を入力します。
新しいポリシー
Add Rulebuttonをクリックします。
ルールの作成
Realm & Settingstabに移動し、タスク要件に基づいてAuthentication Realmbasedを選択します。最後に、Addbuttonをクリックします。
レルムの設定
「保存」ボタンをクリックします。
設定を保存します
アイデンティティポリシーをアクセスコントロールポリシーにリンクさせ、次の属性を持つアクセスポリシールールを作成します。
| 属性名 |
値 |
| ルール名 |
ルール1 |
| アクション |
プライベート ネットワーク間で |
| ソースゾーン |
INSIDE |
| 宛先ゾーン |
OUTSIDE |
| 送信元ネットワーク |
10.10.10.0/24 |
| 宛先ネットワーク |
10.48.62.98/32 |
| サービス |
宛先ポートTCP 80(HTTP) |
| ユーザ |
ラボ領域/グループ1 |
| Logging |
接続の最後 |
ステップ 1:アイデンティティポリシーをアクセスコントロールポリシーにリンクする
FMCのUIで、Policies > Access Control > Access Controlの順に移動します。ポリシーのEditbuttonをクリックします。
ポリシーの編集
identitysectionに移動し、前のタスクで作成したID Policyをリンクします。
アイデンティティポリシーの追加Applybuttonをクリックします。
ステップ 2アクセスコントロールルールを作成します。
acpの作成
タスク要件に従って詳細を入力します。最も重要なことは、Userstabの下でaddGROUP1 fromLAB-Realmを入力することです。
ルールにユーザーを追加する
接続の最後でselectingLogを使用して、ルールのロギングを有効にします。
enable logging
ステップ 3デフォルトアクションのロギングを有効にします。
デフォルトのActionlogging設定を変更するには、設定アイコンをクリックします。
ロギングを有効にします。
FTDに設定を保存して展開します。
トラフィックがftdに対してのみ許可されていることを確認して、パッシブIDの動作を確認します。
ユーザマシンからドメインユーザにログインします。
ユーザログイン
ユーザが正常にログインしたら、FMCのAnalysis > user >active sessionで、アクティブユーザの詳細を確認します。
アクティブセッション
接続イベントからトラフィックの検証を開始した後、接続イベントのユーザの詳細を確認します。
アクティブセッション
エージェントをホストしているWindowsマシンでTask Managerを開き、バックグラウンドprocessCiscoPassiveIdentityAgentServiceisが実行されていることを確認します。
実行中のタスク
エージェントログは、CiscoPassiveIdentityAgentファイルに含まれています。デフォルトの場所は、「C:\Program Files (x86)\Cisco\Cisco Passive Identity Agent\」です。
エージェント
デフォルトでは、エージェントログはINFOlevelに設定されます。DEBUGレベルのロギングを有効にするには、CiscoPassiveIdentityAgentService.exe.exeコンフィギュレーションファイルを変更し、ログレベルをALLorDEBUGに設定します。
エージェント設定
情報ログ
エージェントログのチェック:エージェント設定のフェッチ。
INFO Restクライアント、バルクイベント: [f"domain":"games.cisco.com"、"srcIpAddress": "X.X.X.X"、"user": "fdm"、"timestamp": "2026-07-01T19
情報:Restクライアント、マッピングステータス:OK
INFO Rest Client, REST post successful for userBatch fdm, latency = 0, current DC TIME in UTC: 07/01/2026 19:47:34 USER logged at
INFO Restクライアント、エージェント構成の要求
このコマンドを実行して、エージェントからユーザとIPのマッピングを受信したかどうかを確認します。
FMC出力
上記のコマンドでマッピングが表示されない場合は、これらのログを収集して、Cisco TACに連絡してください。
FMC APIに関連するログの一覧を以下に示します。ピッグテールログは、それらすべてを包含する。
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
16-Jul-2026
|
初版 |