Configurar integração do pxGrid ISE 2.4 e FMC 6.2.3

Introdução

Este documento descreve o processo de configuração para a integração da versão 2.4 do pxGrid do Identity Services Engine (ISE) e da versão 6.2.3 do centro de gerenciamento de FirePOWER (FMC).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• ISE 2.4
• FMC 6.2.3
• Diretório ativo/Lightweight Directory Access Protocol (LDAP)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• ISE autônomo 2.4
• FMCv 6.2.3
• Diretório ativo 2012R2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar o ISE

Etapa 1. Permita serviços do pxGrid

1. O log no ISE Admin GUI, navega à administração > ao desenvolvimento.

  2. Selecione o nó ISE para ser usado para a personalidade do pxGrid segundo as indicações da imagem.

   

  3. Permita o serviço do pxGrid e clique a salvaguarda segundo as indicações da imagem.

   4. Verifique que os serviços do pxGrid estão sendo executado do CLI. 

Nota: Pôde tomar até os minutos 5 para que os serviços do pxGrid comecem e determinem inteiramente a Alta disponibilidade (HA) do estado se mais de um nó do pxGrid está no uso.

   5. O SSH no nó CLI do pxGrid ISE e verifica o estado do aplicativo.

# show application status ise | in pxGrid
pxGrid Infrastructure Service running 24062
pxGrid Publisher Subscriber Service running 24366
pxGrid Connection Manager running 24323
pxGrid Controller running 24404
# 

   6. Alcance o ISE Admin GUI e verifique que os serviços são em linha e trabalhar. Navegue aos serviços da administração > do pxGrid.

   7. Na parte inferior da página, o ISE deve indicar conectado ao nó FQDN> do <pxGrid do pxGrid segundo as indicações da imagem.

Etapa 2. Configurar o ISE para aprovar todas as contas Certificado-baseadas pxGrid

  1. Navegue à administração > ao pxGrid presta serviços de manutenção > ajustes.

  2. Verifique a caixa: “Aprove automaticamente contas certificado-baseadas novas” e clique a salvaguarda segundo as indicações da imagem.

Nota: O administrador deve manualmente aprovar a conexão FMC ao ISE se esta opção não é permitida.

Etapa 3. Exporte certificados de CA do certificado e do pxGrid MNT Admin ISE

  1. Navegue à administração > aos Certificados > aos Certificados do sistema.

  2. Expanda o nó preliminar da monitoração (MNT) se não permitido no nó preliminar da administração.

  3. Selecione o certificado com Usar-pelo campo “Admin”.

Nota: Este guia usa o certificado auto-assinado do padrão ISE para o uso Admin. Se você usa um certificado assinado Certificate Authority (CA) Admin você precisa de exportar a CA raiz que assinou o certificado Admin no nó MNT ISE.

  4. Exportação do clique.

  5. Escolha a opção ao certificado e à chave privada de exportação.

  6. Ajuste uma chave de criptografia.

  7. Exporte e salvar o arquivo segundo as indicações da imagem.

  9. Retorne à tela dos Certificados do sistema ISE.

 10. Determine emitido pelo campo no certificado com o uso do “pxGrid” no usado pela coluna.

Nota: Em umas versões mais velhas do ISE, este era um certificado auto-assinado, mas de 2.2 este certificado é emitido avante pela corrente interna ISE CA à revelia.

 11. Selecione o certificado e clique a vista segundo as indicações da imagem.

 12. Determine o certificado do nível superior (raiz). Neste caso é dos “CA raiz serviços certificados - tim24adm".

 13. Feche o indicador da opinião do certificado segundo as indicações da imagem.

 14. Expanda o menu do Certificate Authority ISE.

 15. Selecione Certificados do Certificate Authority.

 16. Selecione o certificado de raiz que foi identificado e clique a exportação. Salvar então o certificado CA raiz do pxGrid segundo as indicações da imagem. 

  

Configurar FMC

Etapa 4. Adicionar um reino novo a FMC

1. Alcance o FMC GUI e navegue ao sistema > à integração > aos reinos.
2. Clique sobre o reino novo segundo as indicações da imagem.

 3. Complete o formulário e clique o diretório ativo do teste (AD) juntam-se ao botão.

Nota: O AD junta-se ao username deve estar no formato do nome principal do usuário (UPN) ou o teste falha (user@domain.com).

 4. Se o teste AD Join é bem sucedido, clique a APROVAÇÃO.

 5. Clique sobre a tabela de diretório e clique-a então adicionam o diretório segundo as indicações da imagem.

 6. Configurar IP/Hostname e conexão de teste.

Nota: Se o teste falha, verifique as credenciais no guia de configuração do reino.

 7. Clique em OK.

  8. Clique a aba da transferência do usuário segundo as indicações da imagem.

  9. Se não já selecionado, permita a transferência do usuário e do grupo

 10. Clique a transferência agora

 11. Uma vez que a lista povoa, adicionar grupos desejados e seleto adicionar para incluir.

 12. Salvar a configuração do reino.

 13. Permita o estado do reino segundo as indicações da imagem.

Etapa 5. Gerencia o certificado de CA FMC

 1. Navegue aos objetos > ao Gerenciamento do objeto > CA internos segundo as indicações da imagem.

 2. O clique gerencie CA.

 3. Complete o formulário e clique CA auto-assinado Generate segundo as indicações da imagem.

 4. Uma vez que a geração termina, clique sobre o lápis à direita do certificado de CA gerado segundo as indicações da imagem.

 5. Clique em Download.

 6. Configurar e confirme a senha da criptografia e clique a APROVAÇÃO.

 7. Salvar o arquivo p12 dos padrões da criptografia de chave pública (PKCS) a seu sistema local de arquivo.

Etapa 6. Extraia o certificado e a chave privada do certificado gerado com o uso do OpenSSL

Isto pôde ser feito na raiz do FMC, ou em todo o cliente capaz de executar comandos do OpenSSL. Este exemplo usa um shell padrão de Linux.

 1. Use o OpenSSL a fim extrair o certficate (CER) e a chave privada (PVK) do arquivo p12.

 2. Extraia o arquivo CER a seguir configurar a chave da exportação do certificado da geração CERT em FMC.

  ~$ openssl pkcs12 -nokeys -clcerts -in <filename.p12> -out <filename.cer>
  Password:
  Last login: Tue May 15 18:46:41 UTC 2018
  Enter Import Password:
  MAC verified OK

 3. Extraia o arquivo PVK, configurar a chave da exportação do certificado, a seguir ajuste uma frase de acesso PEM nova e confirme-a.

  ~$ openssl pkcs12 -nocerts -in <filename.p12> -out <filename.pvk>
  Password:
  Last login: Tue May 15 18:46:41 UTC 2018
  Enter Import Password:
  MAC verified OK

4. Você precisará esta frase PEM na próxima etapa.

Etapa 7. Instale o certificado em FMC

 1. Navegue aos objetos > ao Gerenciamento do objeto > ao PKI > Certs interno.

 2. O clique adiciona o CERT interno segundo as indicações da imagem.

 3. Configurar um nome para o certificado interno.

 4. Consulte ao lugar do arquivo CER e selecione-o. Uma vez que os dados do certificado povoam, selecione o segundo. 

 5. Consulte a opção e selecione o arquivo PVK.

 6. Suprima de todo o “saco de condução atribui” e quaisquer valores de arrasto na seção PVK. O PVK deve começar com -----COMECE A CHAVE PRIVADA CIFRADA----- e extremidade com -----CHAVE PRIVADA CIFRADA EXTREMIDADE-----.  

Nota: Você não poderá clicar a APROVAÇÃO se o texto PVK tem quaisquer caráteres fora dos hífens de condução e de arrasto.

 7. Verifique a caixa cifrada e configurar a senha criada quando o PVK foi exportado na etapa 6.

 8. Clique em OK.

Etapa 8. Importe o certificado FMC no ISE

 1. Alcance o ISE GUI e navegue à administração > ao sistema > aos Certificados > aos certificados confiáveis.

 2. Clique a importação.

 3. O clique escolhe o arquivo e seleciona o arquivo FMC CER de seu sistema local.

     Opcional: Configurar um nome amigável.

 4. Verifique a confiança para ver se há a autenticação dentro do ISE.

     Opcional: Configurar uma descrição.

 5. O clique submete-se segundo as indicações da imagem.

Etapa 9. Configurar a conexão do pxGrid em FMC

 1. Navegue às fontes do sistema > da integração > da identidade segundo as indicações da imagem.

 2. Clique o ISE.

 3. Configurar o endereço IP ou nome do host do nó do pxGrid ISE.

 4. Selecione + à direita do server CA do pxGrid.

 5. Nomeie o arquivo de CA do server e então consulte à raiz do pxGrid que assina CA recolhido em etapa 3. e clique a salvaguarda.

 6. Selecione + à direita do server CA MNT. 

 7. Nomeie o arquivo de CA do server e então consulte ao certificado Admin recolhido em etapa 3. e clique a salvaguarda. 

 8. Selecione o arquivo FMC CER da lista suspensa.

 9. Clique o teste.

 10. Se o teste é bem sucedido, clique sobre a APROVAÇÃO, a seguir salvar no direita superior da tela.

Nota: Quando você executa 2 Nós do pxGrid ISE, é normal para um host mostrar o sucesso e o um para mostrar a falha desde que o pxGrid é executado somente ativamente em um nó ISE de cada vez. Depende da configuração se que host preliminar pôde indicar a falha e o host secundário puderam indicar o sucesso. Isto é toda dependente de que nó no ISE é o nó ativo do pxGrid.

Verificar

Verificação no ISE

 1. Abra o ISE GUI e navegue aos serviços da administração > do pxGrid.

Se tudo era bem sucedido, deve haver duas conexões de firePOWER alistadas na lista do cliente. Um para o FMC real (iseagent-hostname-33bytes), e um para o dispositivo do teste que foi usado quando você clicou o botão Test Button em FMC (firesightisetest-hostname-33bytes).

A conexão de iseagent-firePOWER deve indicar os sub 6 e aparecer em linha.

A conexão de firesightisetest-firePOWER deve indicar os sub 0 e aparecer off line.

A opinião expandida o cliente de iseagent-firePOWER deve indicar as seis assinaturas segundo as indicações da imagem.

Nota: Devido a CSCvo75376 há uma limitação do hostname e a transferência do volume falha. O botão Test Button no FMC indica uma falha de conectividade. Isto afeta 2.3p6, 2.4p6, e 2.6. A recomendação atual é executar 2.3 a correção de programa 5 ou 2.4 a correção de programa 5 até que uma correção de programa oficial esteja liberada.

Verificação em FMC

 1. Abra o FMC GUI e navegue à análise > aos usuários > às sessões ativa.

Todas as sessões ativa publicadas através da capacidade do diretório da sessão no ISE devem ser indicadas na tabela das sessões ativa em FMC.

Do modo do sudo FMC CLI, do “a sessão adi_cli” deve indicar a informação de sessão do usuário enviada do ISE a FMC.

ssh admin@<FMC IP ADDRESS>
Password:
Last login: Tue May 15 19:03:01 UTC 2018 from dhcp-172-18-250-115.cisco.com on ssh
Last login: Wed May 16 16:28:50 2018 from dhcp-172-18-250-115.cisco.com

Copyright 2004-2018, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Fire Linux OS v6.2.3 (build 13)
Cisco Firepower Management Center for VMWare v6.2.3 (build 83)

admin@firepower:~$ sudo -i
Password:
Last login: Wed May 16 16:01:01 UTC 2018 on cron
root@firepower:~# adi_cli session

received user session: username tom, ip ::ffff:172.18.250.148, location_ip ::ffff:14.36.150.11, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
received user session: username xiayao, ip ::ffff:14.36.148.98, location_ip ::, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
received user session: username admin, ip ::ffff:14.36.150.24, location_ip ::, realm_id 2, domain rtpaaa.net, type Add, identity Passive.
received user session: username administrator, ip ::ffff:172.18.124.200, location_ip ::, realm_id 2, domain rtpaaa.net, type Add, identity Passive.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.