简介
本文档介绍ISE 3.0版中引入的新ISE被动身份连接器(ISE-PIC)代理、其优点以及此代理在ISE上的配置。ISE被动身份代理也已成为使用Cisco FirePower管理中心的身份防火墙解决方案不可或缺的一部分。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科身份服务管理
- MS-RPC、WMI协议
- Active Directory管理
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科身份服务引擎3.0版及更高版本
- Microsoft Windows Server 2016标准版
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
需要新协议
ISE的被动身份(被动ID)功能驱动了许多重要的使用案例,包括基于身份的防火墙、EasyConnect等。此功能取决于监控登录Active Directory域控制器的用户并了解其用户名和IP地址的能力。我们用于监控域控制器的当前主协议是WMI。但是,配置很难/侵入,对客户端和服务器都有性能影响,有时在查看扩展部署中的登录事件时会产生极大延迟。经过深入的研究和轮询被动身份服务所需信息的替代方法后,我们决定采用一种替代协议 — 即EVT或事件API,它在处理此使用案例时更加高效。它有时也称为MS-EVEN6,也称为Eventing Remote Protocol,它是基于RPC的线上协议。
使用MS-EVEN6的优势
高可用性
原始代理没有高可用性选项,如果需要在代理运行或中断的服务器上进行维护,登录事件将会丢失,并且基于身份的防火墙等功能会在此期间丢失数据。这是本版本之前使用ISE PIC代理的主要问题之一。ISE使用UDP端口9095在代理之间交换心跳。
可扩展性
新代理通过增加支持数量的域控制器的扩展数量以及它可以处理的事件数量提供更好的支持。以下是测试的比例数:
- 受监控的域控制器的最大数量(有2对代理):74
- 测试的映射/事件最大数:292,000(每个DC 3950个事件)
- 测试的最大TPS:500
扩展测试设置架构
历史事件查询
在“故障切换”或为PIC-Agent执行服务重启时,为确保数据不丢失,会查询过去给定时间内生成的事件,并将其再次发送到PSN节点。默认情况下,ISE会查询从服务开始算起的60秒过去事件,以消除服务丢失期间的任何数据丢失。
处理开销更低
与WMI不同,EVT不像WMI那样消耗太多资源,WMI在大规模或重负载下CPU的占用量很大。比例测试表明,使用EVT可大大提高查询的性能。
配置
连接图
配置
为PassiveID代理配置ISE
要配置PassiveID服务,必须在至少一个策略服务节点(PSN)上启用被动身份服务。最多可将两个节点用于被动身份服务,该服务在主用/备用操作模式下运行。ISE还必须加入到Active Directory域,并且只有该域中存在的域控制器可以由ISE上配置的代理监控。要将ISE加入Active Directory域,请参阅《Active Directory集成指南》。
导航至管理>System >部署> [选择PSN] >编辑以启用被动身份服务,如下所示:
导航到工作中心> PassiveID >提供程序>代理>添加以部署新代理,如下所示:
注意:1.如果计划由ISE在域控制器上安装代理,此处使用的帐户必须具有足够的权限来安装程序,并在主机FQDN字段中提及的服务器上运行。此处的主机FQDN可以是成员服务器而不是域控制器的主机FQDN。
2.如果代理已手动安装,或从ISE的先前部署安装,使用MSRPC,则与WMI相比,Active Directory或Windows端所需的权限和配置更少,PIC代理使用的其他协议(以及3.0之前唯一可用的协议)。本例中使用的用户帐户可以是常规域帐户,它是“事件日志读取器”组的一部分。选择Register Existing Agent,然后使用这些帐户详细信息注册手动安装在域控制器上的代理。
部署成功后,在另一台服务器上配置另一个代理,并将其添加为辅助代理,然后添加其主对等体,如下图所示。
要使用代理监控域控制器,请导航至工作中心> PassiveID >提供程序> Active Directory > [单击加入点] > PassiveID。单击Add DCs,选择从中检索User-IP Mapping/事件的域控制器,然后单击OK,然后单击Save以保存更改,如下图所示。
要指定应用于从中检索事件的代理,请导航至工作中心> PassiveID >提供程序> Active Directory > [单击加入点] > PassiveID。选择域控制器,然后单击“编辑”。输入用户名和密码。选择“代理”,然后选择“保存”对话框。单击PassiveID选项卡上的Save以完成配置。
如下图所示,您可以借助“配置”和“测试”按钮检查配置是否正确应用了配置:
了解PassiveID代理配置文件
PassiveID Agent配置文件位于C:\Program Files (x86)\Cisco\Cisco ISE PassiveID Agent\PICAgent.exe.config。配置文件的内容如下所示:
验证
验证ISE上的PassiveID服务
1.验证是否在GUI上启用了PassiveID服务,并且还标记为在ISE的CLI上使用命令show application status ise运行。
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 129052
Database Server running 108 PROCESSES
Application Server running 9830
Profiler Database running 5127
ISE Indexing Engine running 13361
AD Connector running 20609
M&T Session Database running 4915
M&T Log Processor running 10041
Certificate Authority Service running 15493
EST Service running 41658
SXP Engine Service disabled
Docker Daemon running 815
TC-NAC Service disabled
pxGrid Infrastructure Service disabled
pxGrid Publisher Subscriber Service disabled
pxGrid Connection Manager disabled
pxGrid Controller disabled
PassiveID WMI Service running 15951
PassiveID Syslog Service running 16531
PassiveID API Service running 17093
PassiveID Agent Service running 17830
PassiveID Endpoint Service running 18281
PassiveID SPAN Service running 20253
DHCP Server (dhcpd) disabled
DNS Server (named) disabled
ISE Messaging Service running 1472
ISE API Gateway Database Service running 4026
ISE API Gateway Service running 7661
Segmentation Policy Service disabled
REST Auth Service disabled
SSE Connector disabled
2.验证ISE Active Directory提供程序是否已连接到工作中心> PassiveID >提供程序> Active Directory >连接上的域控制器。
3.验证是否需要的域控制器正在由“工作中心”>“被动ID”>“提供程序”>“活动目录”>“被动ID”中的代理监控。
4.验证受监控的域控制器的状态是否为up,即在工作中心(Work Centers)>被动ID(PassiveID)>概述(Overview)>控制面板(Dashboard)上的控制面板上标记为绿色。
5.验证在域控制器上的“工作中心”>“被动ID”>“概述”>“实时会话”中注册Windows登录时填充的实时会话。
验证Windows服务器上的代理服务
1.在安装PIC代理的服务器上检验ISEPICAgent服务。