Introduction
Este documento descreve o processo de configuração para a integração do Identity Services Engine (ISE) pxGrid versão 2.4 e do Firepower Management Center (FMC) versão 6.2.3.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- ISE 2.4
- FMC 6.2.3
- Ative Diretory/Lightweight Diretory Access Protocol (LDAP)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- ISE 2.4 independente
- FMCv 6.2.3
- Ative Diretory 2012R2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar ISE
Etapa 1. Habilitar serviços pxGrid
- Faça login na GUI do ISE Admin, navegue para Administration > Deployment.
2. Selecione o nó ISE a ser usado para personagens pxGrid, como mostrado na imagem.

3. Ative o serviço pxGrid e clique em Salvar como mostrado na imagem.

4. Verifique se os serviços pxGrid estão sendo executados na CLI.
Note: Pode levar até 5 minutos para os serviços pxGrid iniciarem completamente e determinarem o estado de alta disponibilidade (HA) se mais de um nó pxGrid estiver em uso.
5. SSH na CLI do nó ISE pxGrid e verifique o status do aplicativo.
# show application status ise | in pxGrid
pxGrid Infrastructure Service running 24062
pxGrid Publisher Subscriber Service running 24366
pxGrid Connection Manager running 24323
pxGrid Controller running 24404
#
6. Acesse a GUI do ISE Admin e verifique se os serviços estão on-line e funcionando. Navegue até Administration > pxGrid Services.
7. Na parte inferior da página, o ISE deve exibir Connected to pxGrid <pxGrid node FQDN> como mostrado na imagem.

Etapa 2. Configurar o ISE para aprovar todas as contas baseadas em certificado pxGrid
1. Navegue até Administration > pxGrid Services > Settings.
2. Marque a caixa: "Aprove automaticamente novas contas baseadas em certificado" e clique em Salvar como mostrado na imagem.

Note: O administrador deve aprovar manualmente a conexão do FMC ao ISE se essa opção não estiver habilitada.
Etapa 3. Exportar certificado de administrador ISE MNT e certificados de CA pxGrid
1. Navegue até Administração > Certificados > Certificados do Sistema.
2. Expanda o nó Monitoração primária (MNT) se não estiver ativado no nó Administração primária.
3. Selecione o certificado com o campo Usado por "Admin".
Note: Este guia usa o certificado autoassinado ISE padrão para uso do administrador. Se você usar um certificado de administrador assinado pela autoridade de certificação (CA), precisará exportar a CA raiz que assinou o certificado de administrador no nó ISE MNT.
4. Clique em Exportar.
5. Escolha a opção Exportar certificado e chave privada.
6. Defina uma chave de criptografia.
7. Exportar e Salvar o arquivo como mostrado na imagem.


9. Retorne à tela Certificados do sistema ISE.
10. Determine o campo Emitido por no certificado com o uso "pxGrid" na coluna Usado por.
Note: Em versões mais antigas do ISE, esse era um certificado autoassinado, mas a partir da versão 2.2, esse certificado é emitido pela cadeia interna de CA do ISE por padrão.
11. Selecione o certificado e clique em Exibir como mostrado na imagem.

12. Determine o certificado de nível superior (Raiz). Nesse caso, é "Certificate Services Root CA - tim24adm".
13. Feche a janela de exibição de certificado como mostrado na imagem.

14. Expanda o menu Autoridade de certificação ISE.
15. Selecione Certificados de autoridade de certificação.
16. Selecione o certificado raiz identificado e clique em Exportar. Em seguida, salve o certificado de CA raiz pxGrid como mostrado na imagem.

Configurar o FMC
Etapa 4. Adicionar um novo território ao FMC
- Acesse a GUI do FMC e navegue até System > Integration > Realms.
- Clique em Novo território conforme mostrado na imagem.

3. Preencha o formulário e clique no botão Testar entrada no Ative Diretory (AD).
Note: O nome de usuário do AD Join deve estar no formato Nome principal do usuário (UPN) ou o teste falha (user@domain.com).
4. Se o teste de adesão ao AD for bem-sucedido, clique em OK.

5. Clique na guia Diretório e clique em Adicionar diretório conforme mostrado na imagem.

6. Configure o nome de host/IP e teste a conexão.
Note: Se o teste falhar, verifique as credenciais na guia Configuração de território.
7. Click OK.


8. Clique na guia User Download (Download do usuário), conforme mostrado na imagem.

9. Se ainda não estiver selecionado, habilitar download de usuários e grupos
10. Clique em Baixar agora

11. Quando a lista for preenchida, adicione os grupos desejados e selecione Adicionar a incluir.
12. Salve a configuração do território.

13. Ative o estado de território conforme mostrado na imagem.

Etapa 5. Gerar certificado CA do FMC
1. Navegue até Objects > Object Management > Internal CAs como mostrado na imagem.

2. Clique em Gerar CA.
3. Preencha o formulário e clique em Gerar CA autoassinado conforme mostrado na imagem.

4. Quando a geração for concluída, clique no lápis à direita do certificado CA gerado, conforme mostrado na imagem.

5. Clique em Download.

6. Configure e confirme a senha de criptografia e clique em OK.
7. Salve o arquivo PKCS (Public-Key Cryptography Standards) p12 em seu sistema de arquivos local.
Etapa 6. Extraia o certificado e a chave privada do certificado gerado com o uso do OpenSSL
Isso pode ser feito na raiz do FMC ou em qualquer cliente capaz de executar comandos OpenSSL. Este exemplo usa um shell Linux padrão.
1. Use openssl para extrair o certificado (CER) e a chave privada (PVK) do arquivo p12.
2. Extraia o arquivo CER e configure a chave de exportação de certificado da geração de certificado no FMC.
~$ openssl pkcs12 -nokeys -clcerts -in <filename.p12> -out <filename.cer>
Password:
Last login: Tue May 15 18:46:41 UTC 2018
Enter Import Password:
MAC verified OK
3. Extraia o arquivo PVK, configure a chave de exportação do certificado, defina uma nova frase de senha PEM e confirme.
~$ openssl pkcs12 -nocerts -in <filename.p12> -out <filename.pvk>
Password:
Last login: Tue May 15 18:46:41 UTC 2018
Enter Import Password:
MAC verified OK
4. Essa frase do PEM será necessária na próxima etapa.
Passo 7. Instalar certificado no FMC
1. Navegue até Objects > Object Management > PKI > Internal Certs.
2. Clique em Adicionar certificado interno conforme mostrado na imagem.

3. Configure um nome para o certificado interno.
4. Navegue até o local do arquivo CER e selecione-o. Quando os dados do certificado forem preenchidos, selecione o segundo.
5. Procure Option e selecione o arquivo PVK.
6. Exclua todos os "atributos de sag" à esquerda e quaisquer valores à direita na seção PVK. O PVK deve começar com —CHAVE PRIVADA CRIPTOGRAFADA— e terminar com —CHAVE PRIVADA CRIPTOGRAFADA FINAL—.
Note: Você não poderá clicar em OK se o texto PVK tiver caracteres fora dos hífens à esquerda e à direita.
7. Marque a caixa Criptografada e configure a senha criada quando o PVK foi exportado na Etapa 6.
8. Click OK.


Etapa 8. Importar o certificado do FMC para o ISE
1. Acesse a GUI do ISE e navegue para Administração > Sistema > Certificados > Certificados confiáveis.
2. Clique em Importar.

3. Clique em Choose File (Escolher arquivo) e selecione o arquivo CER do FMC no sistema local.
Opcional: Configure um nome amigável.
4. Verifique se há autenticação no ISE.
Opcional: Configure uma Descrição.
5. Clique em Enviar conforme mostrado na imagem.

Etapa 9. Configurar a conexão pxGrid no FMC
1. Navegue até Sistema > Integração > Fontes de identidade conforme mostrado na imagem.

2. Clique em ISE.
3. Configure o endereço IP ou o nome de host do nó ISE pxGrid.
4. Selecione + à direita de CA do pxGrid Server.
5. Nomeie o arquivo CA do servidor e navegue até a CA de assinatura raiz pxGrid coletada na Etapa 3. e clique em Salvar.
6. Selecione + à direita de CA do servidor MNT.
7. Nomeie o arquivo CA do servidor e navegue até o certificado Admin coletado na Etapa 3. e clique em Salvar.
8. Selecione o arquivo RCE do FMC na lista suspensa.

9. Clique em Test (Testar).
10. Se o teste for bem-sucedido, clique em OK e em Save (Salvar) na parte superior direita da tela.

Note: Quando você executa 2 nós do ISE pxGrid, é normal que um host mostre Êxito e outro mostre Falha, pois o pxGrid é executado ativamente apenas em um nó do ISE por vez. Depende da configuração se qual host principal pode exibir Falha e o host secundário pode exibir Êxito. Tudo isso depende do nó no ISE que é o nó pxGrid ativo.
Verificar
Verificação no ISE
1. Abra a GUI do ISE e navegue para Administration > pxGrid Services.
Se tudo tiver sido bem-sucedido, deve haver duas conexões firepower listadas na lista de clientes. Um para o FMC real (iseagent-hostname-33 bytes) e um para o dispositivo de teste que foi usado quando você clicou no botão Test no FMC (fireghtiset est-hostname-33 bytes).

A conexão iseagent-firepower deve exibir 6 subs e ser exibida on-line.
A conexão fireghtiset est-firepower deve exibir 0 subs e parecer off-line.
A visualização expandida do isagent-firepower client deve exibir as seis assinaturas, conforme mostrado na imagem.

Note: Devido ao CSCvo75376
há uma limitação de nome de host e o Download em massa falha. O botão de teste no FMC exibe uma falha de conectividade. Isso afeta 2,3p6, 2,4p6 e 2,6. Recomenda-se a aplicação de 2,3 sistema transdérmico 5 ou 2,4 sistema transdérmico 5 até que o sistema transdérmico oficial seja libertado.
Verificação no CVP
1. Abra a GUI do FMC e navegue para Analysis > Users > Ative Sessions.
Todas as sessões ativas publicadas por meio do recurso do diretório de sessão no ISE devem ser exibidas na tabela Sessões ativas no FMC.

No modo de sudo CLI do FMC, 'adi_cli session' deve exibir as informações da sessão do usuário enviadas do ISE para o FMC.
ssh admin@<FMC IP ADDRESS>
Password:
Last login: Tue May 15 19:03:01 UTC 2018 from dhcp-172-18-250-115.cisco.com on ssh
Last login: Wed May 16 16:28:50 2018 from dhcp-172-18-250-115.cisco.com
Copyright 2004-2018, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Fire Linux OS v6.2.3 (build 13)
Cisco Firepower Management Center for VMWare v6.2.3 (build 83)
admin@firepower:~$ sudo -i
Password:
Last login: Wed May 16 16:01:01 UTC 2018 on cron
root@firepower:~# adi_cli session
received user session: username tom, ip ::ffff:172.18.250.148, location_ip ::ffff:14.36.150.11, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
received user session: username xiayao, ip ::ffff:14.36.148.98, location_ip ::, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
received user session: username admin, ip ::ffff:14.36.150.24, location_ip ::, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
received user session: username administrator, ip ::ffff:172.18.124.200, location_ip ::, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
Troubleshoot
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.