Inleiding
In dit document wordt beschreven hoe u kunt migreren van User Agent naar Identity Services Engine (ISE) voor Firepower User Agent.
Achtergrondinformatie
In toekomstige versies is de Firepower User Agent niet meer beschikbaar. Het wordt vervangen door de ISE of Identity Services Engine - Passive ID Connector (ISE-PIC). Als u momenteel User Agent gebruikt en overweegt om naar ISE te migreren, biedt dit document overwegingen en strategieën voor uw migratie.
Overzicht van gebruikersidentiteit
Er zijn momenteel twee methoden om gebruikersidentiteitsgegevens uit bestaande identiteitsinfrastructuur te extraheren: User Agent en ISE-integratie.
User Agent
User Agent is een toepassing die is geïnstalleerd op een Windows-platform. Het maakt gebruik van het Windows Management Instrumentation (WMI)-protocol om toegang te krijgen tot de aanmeldingsgebeurtenissen van de gebruiker (gebeurtenistype 4624) en slaat de gegevens vervolgens op in een lokale database. Er zijn twee manieren waarop User Agent de aanmeldingsgebeurtenissen ophaalt: in realtime bijgewerkt als de gebruiker zich aanmeldt (alleen Windows Server 2008 en 2012) of de gegevens pollen voor elk configureerbaar interval. De User Agent verzendt gegevens die zijn ontvangen van Active Directory (AD) in realtime naar het Firepower Management Center (FMC) en verzendt regelmatig batches aanmeldingsgegevens naar FMC.
Typen aanmeldingen die door de User Agent kunnen worden gedetecteerd, zijn onder meer aanmelden bij een host rechtstreeks of via extern bureaublad, aanmelden voor het delen van bestanden en aanmelden bij een computeraccount. Andere typen aanmeldingen zoals Citrix, netwerkaanmeldingen en Kerberos-aanmeldingen worden niet ondersteund door User Agent.
User Agent heeft een optionele functie om te detecteren of de toegewezen gebruiker zich heeft afgemeld. Als de afmeldcontrole is ingeschakeld, wordt periodiek gecontroleerd of het explorer.exe proces op elk toegewezen eindpunt wordt uitgevoerd. Als het actieve proces niet kan worden gedetecteerd, wordt na 72 uur de toewijzing voor deze gebruiker verwijderd.
Identity Services-engine
ISE is een robuuste AAA-server die de netwerkaanmeldingssessies van de gebruiker beheert. Aangezien ISE rechtstreeks communiceert met netwerkapparaten zoals switches en draadloze controllers, heeft het toegang tot actuele gegevens over de activiteiten van de gebruiker, waardoor het een betere identiteitsbron is dan de User Agent. Wanneer een gebruiker zich aanmeldt bij een eindpunt, maakt deze meestal automatisch verbinding met het netwerk en als dot1x-verificatie is ingeschakeld voor het netwerk, maakt ISE een verificatiesessie voor deze gebruikers en houdt deze actief totdat de gebruiker zich afmeldt bij het netwerk. Als ISE is geïntegreerd met FMC, worden de IP-toewijzingsgegevens van de gebruiker (samen met andere gegevens die door ISE zijn verzameld) doorgestuurd naar FMC.
ISE kan worden geïntegreerd met FMC via pxGrid. pxGrid is een protocol dat is ontworpen om de distributie van sessiegegevens tussen ISE-servers en met andere producten te centraliseren. Bij deze integratie treedt ISE op als pxGrid Controller en abonneert FMC zich op de controller om sessiegegevens te ontvangen (FMC publiceert geen gegevens aan ISE behalve tijdens de sanering die later wordt besproken) en geeft de gegevens door aan de sensoren om gebruikersbewustzijn te bereiken.
Identity Services Engine - Passive Identity Connector (ISE-PIC)
Identity Services Engine - Passive Identity Connector (ISE-PIC) is in wezen een exemplaar van ISE met een beperkte licentie. ISE-PIC voert geen authenticatie uit, maar fungeert in plaats daarvan als een centrale hub voor verschillende identiteitsbronnen in het netwerk, verzamelt de identiteitsgegevens en verstrekt deze aan abonnees. ISE-PIC is vergelijkbaar met User Agent in de manier waarop het ook WMI gebruikt om inloggebeurtenissen van de AD te verzamelen, maar met meer robuuste functies die bekend staan als Passive Identity. Het is ook geïntegreerd met FMC via pxGrid.
Overwegingen bij migratie
Vergunningseisen
Het VCC heeft geen extra licenties nodig. ISE vereist een licentie als deze nog niet is geïmplementeerd in de infrastructuur. Raadpleeg het Cisco ISE Licensing Model-document voor meer informatie. ISE-PIC is een functieset die al bestaat in volledige ISE-implementatie, daarom zijn er geen extra licenties vereist als er een bestaande ISE-implementatie is. Voor een nieuwe of afzonderlijke implementatie van ISE-PIC raadpleegt u het Cisco ISE-PIC-licentiedocument voor meer informatie.
SSL-certificaat
Hoewel User Agent geen Public Key Infrastructure (PKI) vereist voor communicatie met FMC en AD, vereist ISE- of ISE-PIC-integratie alleen SSL-certificaten die worden gedeeld tussen ISE en FMC voor verificatiedoeleinden. De integratie ondersteunt door de certificeringsinstantie ondertekende en zelf ondertekende certificaten, op voorwaarde dat zowel serververificatie als clientverificatie-extensiesleutelgebruik (EKU) aan de certificaten worden toegevoegd.
dekking identiteitsbron
User Agent dekt alleen Windows-aanmeldingsgebeurtenissen vanaf Windows Desktops, met op polling gebaseerde afmeldingsdetectie. ISE-PIC omvat Windows Desktop-aanmeldingsbronnen plus aanvullende identiteitsbronnen zoals AD Agent, Kerberos SPAN, Syslog Parser en Terminal Services Agent (TSA). Volledige ISE heeft de dekking van alle ISE-PIC's plus netwerkverificatie van niet-Windows-werkstations en mobiele apparaten naast andere functies.
|
User Agent
|
ISE-PIC
|
ISE
|
|
Aanmelden bij Active Directory-bureaublad
|
Ja
|
Ja
|
Ja
|
|
Netwerkaanmelding
|
Nee
|
Nee
|
Ja
|
|
eindpuntsonde
|
Ja
|
Ja
|
Ja
|
|
InfoBlox/IPAM's
|
Nee
|
Ja
|
Ja
|
|
LDAP
|
Nee
|
Ja
|
Ja
|
|
beveiligde webgateways
|
Nee
|
Ja
|
Ja
|
|
REST API-bronnen
|
Nee
|
Ja
|
Ja
|
|
Syslog Parser
|
Nee
|
Ja
|
Ja
|
|
netwerkbereik
|
Nee
|
Ja
|
Ja
|
User Agent End of Life
De laatste versie van Firepower die User Agent ondersteunt, is 6.6, waarin wordt gewaarschuwd dat User Agent moet worden uitgeschakeld voordat een upgrade naar latere versies wordt uitgevoerd. Als een upgrade naar een versie later dan 6.6 nodig is, moet de migratie van User Agent naar ISE of ISE-PIC zijn voltooid voordat de upgrade wordt uitgevoerd. Raadpleeg de configuratiehandleiding van de User Agent voor meer informatie.
compatibiliteit
Raadpleeg de compatibiliteitshandleiding voor Firepower-producten om te controleren of de softwareversies die bij de integratie zijn betrokken compatibel zijn. Merk op dat voor toekomstige Firepower-versies specifieke patchniveaus vereist zijn voor ondersteuning voor latere ISE-versies.
migratiestrategie
Migratie van User Agent naar ISE of ISE-PIC vereist zorgvuldige planning, uitvoering en testen om een soepele overgang van de bron van de gebruikersidentiteit voor FMC te garanderen en elke impact op het gebruikersverkeer te voorkomen. Dit gedeelte bevat de beste praktijken en aanbevelingen voor deze activiteit.
Voorbereiden op migratie
Deze stappen kunnen worden uitgevoerd voordat u overschakelt van User Agent naar ISE Integration:
Stap 1. Configureer ISE of ISE-PIC om PassiveID in te schakelen en maak een WMI-verbinding met Active Directory. Raadpleeg de Toedieningsgids van ISE-PIC.
Stap 2. Maak het identiteitsbewijs van het VCC klaar. Het kan een door het VCC zelf ondertekend certificaat zijn of een op het VCC gegenereerd certificaatondertekeningsverzoek (Certificate Signing Request, CSR), dat moet worden ondertekend door een particuliere of openbare certificeringsinstantie (Certificate Authority, CA). Het zelf ondertekende certificaat of het root-certificaat van de CA moet op ISE worden geïnstalleerd. Raadpleeg de ISE- en FMC-integratiegids voor meer informatie.
Stap 3. Installeer het CA-rootcertificaat dat het pxGrid-certificaat van de ISE heeft ondertekend (of het pxGrid-certificaat indien zelf ondertekend) op de FMC. Raadpleeg de ISE- en FMC-integratiegids voor meer informatie.
snijproces
De FMC-ISE-integratie kan niet worden geconfigureerd zonder de configuratie van de User Agent op de FMC uit te schakelen, omdat de twee configuraties elkaar uitsluiten. Dit kan gevolgen hebben voor de gebruikers tijdens de verandering. Het wordt aanbevolen deze stappen uit te voeren tijdens het onderhoudsvenster.
Stap 1. FMC-ISE-integratie inschakelen en controleren. Raadpleeg de ISE- en FMC-integratiehandleiding voor meer informatie.
Stap 2. Zorg ervoor dat gebruikersactiviteiten worden gerapporteerd aan de FMC door naar de pagina over de FMC te gaan Analysis > User > User Activities.
Stap 3. Controleer of de toewijzing van gebruikers-IP's en gebruikersgroepen beschikbaar zijn op beheerde apparaten van Analysis > Connections > Events > Table View of Connection Events.
Stap 4. Wijzig het toegangscontrolebeleid om de actie voor Bewaken tijdelijk te wijzigen in regels die verkeer blokkeren, afhankelijk van de gebruikersnaam of gebruikersgroepvoorwaarde. Maak voor regels die verkeer toestaan op basis van initiatorgebruiker of groep een dubbele regel die het verkeer zonder gebruikerscriteria toestaat en schakel vervolgens de oorspronkelijke regel uit. Het doel van deze stap is ervoor te zorgen dat bedrijfskritisch verkeer niet wordt beïnvloed tijdens de testfase na het onderhoudsvenster.
Stap 5. Neem na het onderhoudsvenster tijdens normale kantooruren de verbindingsgebeurtenissen op FMC in acht om de toewijzing van gebruikers-IP's te controleren. Houd er rekening mee dat de verbindingsgebeurtenissen alleen gebruikersgegevens weergeven als er een regel is ingeschakeld waarvoor gebruikersgegevens vereist zijn. Daarom wordt de monitoractie voorgesteld in de eerdere stap.
Stap 6. Zodra de gewenste status is bereikt, kunt u de wijzigingen in het beleid voor toegangscontrole terugdraaien en de beleidsimplementatie naar de beheerde apparaten pushen.
Gerelateerde informatie
Feedback