EVT 기반 ID 서비스 엔진 수동 ID 에이전트 구성

다운로드 옵션

PDF (1.7 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (1.7 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (919.3 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2021년 7월 28일

문서 ID:216512

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ISE 3.0 버전에서 도입된 새로운 ISE ISE PIC(Passive Identity Connector) 에이전트, 그 장점 및 ISE에서 이 에이전트의 구성에 대해 설명합니다.ISE Passive Identity Agent는 Cisco FirePower Management Center를 사용하는 ID 방화벽 솔루션의 핵심적인 부분이 되었습니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Cisco Identity Services 관리
MS-RPC, WMI 프로토콜
Active Directory 관리

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco Identity Services Engine 버전 3.0 이상
Microsoft Windows Server 2016 Standard

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

새로운 프로토콜의 필요성

ISE의 패시브 ID(Passive ID) 기능은 ID 기반 방화벽, EasyConnect 등을 비롯한 여러 중요한 사용 사례를 구동합니다.이 기능은 Active Directory 도메인 컨트롤러에 로그인하고 사용자 이름과 IP 주소를 학습하는 사용자를 모니터링하는 기능에 따라 달라집니다.도메인 컨트롤러를 모니터링하는 데 사용하는 현재 주 프로토콜은 WMI입니다.그러나 구성이 어렵고, 간섭이 심하며, 클라이언트와 서버 모두에 성능에 영향을 미치며, 대규모 구축에서 로그온 이벤트를 볼 때 지연 시간이 매우 큰 경우도 있습니다.Passive Identity Services에 필요한 정보를 폴링하기 위한 철저한 조사와 대체 방법, EVT 또는 Eventing API라고 하는 대체 프로토콜, 이 활용 사례를 처리하는 데 더 효율적인 방법이 결정되었습니다.MS-EVEN6라고도 하며, Eventing Remote Protocol이라고도 합니다. 이는 기본 RPC 기반 on-the-wire 프로토콜입니다.

MS-EVEN6 사용의 장점

고가용성

원래 에이전트에는 고가용성 옵션이 없으며 에이전트가 실행 중이거나 가동 중지된 서버에서 유지 보수를 수행해야 하는 경우 로그온 이벤트가 누락되고 ID 기반 방화벽 같은 기능을 사용하면 이 기간 동안 데이터가 손실됩니다.이 릴리스에 앞서 ISE PIC 에이전트를 사용하는 데 있어 가장 큰 문제 중 하나입니다.ISE는 UDP Port 9095를 사용하여 에이전트 간 하트비트를 교환합니다.

확장성

새 에이전트는 지원되는 도메인 컨트롤러 수와 처리할 수 있는 이벤트 수에 대한 확장 번호를 늘려 더 나은 지원을 제공합니다.테스트한 스케일 번호는 다음과 같습니다.

모니터링되는 최대 도메인 컨트롤러 수(에이전트 2쌍 포함):74
테스트된 최대 매핑/이벤트 수:292,000(DC당 3,950개의 이벤트)
테스트한 최대 TPS:500

테스트 설정 아키텍처 확장

기록 이벤트 쿼리

장애 조치의 경우 또는 PIC-Agent에 대해 서비스를 다시 시작하는 경우 데이터가 손실되지 않도록 지정된 시간 동안 생성된 이벤트를 쿼리하여 PSN 노드로 다시 보냅니다.기본적으로 서비스 시작 시점부터 60초 분량의 과거 이벤트가 ISE에 의해 쿼리되어 서비스 손실 중 데이터 손실을 방지합니다.

처리 오버헤드 감소

대규모 또는 과부하 상태에서 CPU가 집중된 WMI와 달리 EVT는 WMI와 같은 많은 리소스를 사용하지 않습니다.규모 테스트에서는 EVT를 사용하여 쿼리의 성능이 크게 향상되었습니다.

구성

연결 다이어그램

구성

PassiveID 에이전트에 대한 ISE 구성

PassiveID 서비스를 구성하려면 하나 이상의 PSN(Policy Service Node)에서 Passive Identity Services를 활성화해야 합니다.액티브/스탠바이 작업 모드에서 작동하는 패시브 ID 서비스에 최대 2개의 노드를 사용할 수 있습니다.또한 ISE는 Active Directory 도메인에 가입되어야 하며 해당 도메인에 있는 도메인 컨트롤러만 ISE에 구성된 에이전트에 의해 모니터링할 수 있습니다.ISE를 Active Directory 도메인에 가입시키려면 Active Directory 통합 가이드를 참조하십시오.

Administration(관리) > System(시스템) > Deployment(구축) > [Choose a PSN](PSN 선택) > Edit(편집)로 이동하여 여기에 표시된 대로 Passive Identity Services(수동 ID 서비스)를 활성화합니다.

Work Centers(작업 센터) > PassiveID > Providers(제공자) > Agents(상담원) > Add(추가)로 이동하여 여기에 표시된 대로 새 에이전트를 구축합니다.

참고:1. 에이전트가 도메인 컨트롤러에 ISE에 의해 설치되도록 계획되어 있는 경우, 여기에서 사용된 계정은 프로그램을 설치하고 Host FQDN 필드에 언급된 서버에서 실행할 수 있는 충분한 권한을 가지고 있어야 합니다.여기서 호스트 FQDN은 도메인 컨트롤러 대신 구성원 서버의 FQDN일 수 있습니다.

2. 에이전트가 이미 수동으로 설치되었거나 MSRPC를 사용하여 ISE의 이전 배포에서 설치된 경우 Active Directory 또는 Windows 측에서 필요한 권한 및 구성이 WMI에 비해 적으며 PIC 에이전트가 사용하는 다른 프로토콜(및 3.0 이전 버전만 사용 가능)이 사용됩니다.이 경우에 사용되는 사용자 계정은 이벤트 로그 판독기 그룹의 일부인 일반 도메인 계정일 수 있습니다.Register Existing Agent(기존 에이전트 등록)를 선택하고 이러한 계정 세부 정보를 사용하여 도메인 컨트롤러에 수동으로 설치된 에이전트를 등록합니다.

성공적으로 구축한 후 다른 서버에서 다른 에이전트를 구성하고 이 이미지에 표시된 대로 보조 에이전트로 추가한 다음 기본 피어로 추가합니다.

에이전트를 사용하여 도메인 컨트롤러를 모니터링하려면 Work Centers(작업 센터) > PassiveID > Providers(제공자) > Active Directory > [Click on the Join Point] > PassiveID로 이동합니다.Add DCs(DC 추가)를 클릭하고 User-IP Mapping/events(사용자-IP 매핑/이벤트)가 검색되는 도메인 컨트롤러를 선택한 다음 OK(확인)를 클릭한 다음 Save(저장)를 클릭하여 이 이미지에 표시된 대로 변경 사항을 저장합니다.

이벤트를 검색하는 데 사용할 에이전트를 지정하려면 Work Centers(작업 센터) > PassiveID > Providers(패시브 ID) > Active Directory > [Click on the Join Point] > PassiveID로 이동합니다.도메인 컨트롤러를 선택하고 Edit(수정)를 클릭합니다.사용자 이름 및 비밀번호를 입력합니다.Agent(에이전트)를 선택한 다음 Save(저장)를 선택합니다.PassiveID 탭에서 Save를 클릭하여 컨피그레이션을 완료합니다.

구성 및 테스트 버튼의 도움을 받아 컨피그레이션이 올바르게 적용되었는지 확인하려면 여기 이미지에 표시된 대로 다음을 수행하십시오.

PassiveID 에이전트 구성 파일 이해

PassiveID Agent 구성 파일은 C:\Program Files (x86)\Cisco\Cisco ISE PassiveID Agent\PICAgent.exe.config에 있습니다.컨피그레이션 파일에는 다음과 같은 내용이 있습니다.

다음을 확인합니다.

ISE에서 PassiveID 서비스 확인

1. GUI에서 PassiveID 서비스가 활성화되고 ISE의 CLI에서 show application status 명령에서 실행으로 표시되는지 확인합니다.


ISE PROCESS NAME STATE PROCESS ID 
--------------------------------------------------------------------
Database Listener running 129052 
Database Server running 108 PROCESSES
Application Server running 9830 
Profiler Database running 5127 
ISE Indexing Engine running 13361 
AD Connector running 20609 
M&T Session Database running 4915 
M&T Log Processor running 10041 
Certificate Authority Service running 15493 
EST Service running 41658 
SXP Engine Service disabled 
Docker Daemon running 815 
TC-NAC Service disabled 
pxGrid Infrastructure Service disabled 
pxGrid Publisher Subscriber Service disabled 
pxGrid Connection Manager disabled 
pxGrid Controller disabled 
PassiveID WMI Service running 15951 
PassiveID Syslog Service running 16531 
PassiveID API Service running 17093 
PassiveID Agent Service running 17830 
PassiveID Endpoint Service running 18281 
PassiveID SPAN Service running 20253 
DHCP Server (dhcpd) disabled 
DNS Server (named) disabled 
ISE Messaging Service running 1472 
ISE API Gateway Database Service running 4026 
ISE API Gateway Service running 7661 
Segmentation Policy Service disabled 
REST Auth Service disabled 
SSE Connector disabled