Active Directory 代理
从ISE-PIC,在 Active Directory (AD) 域控制器 (DC) 或成员服务器上的任意位置(根据配置)安装本地 32 位应用(即域控制器 (DC) 代理),以从 AD 检索用户身份信息,然后将这些身份发送给已配置的用户。代理探测器是将 Active Directory 用于用户身份信息的一种快速高效的解决方案。代理可安装在单独的域中,也可安装在 AD 域中,并且一旦安装,它们就会每分钟提供一次 ISE-PIC 的状态更新。
代理可由 ISE-PIC 自动安装和配置,您也可以手动对其进行安装。安装时,会发生以下情况:
-
代理及其关联文件安装在以下路径:Program Files/Cisco/Cisco ISE PassiveID Agent
-
系统将安装一个名为 PICAgent.exe.config 的配置文件,其中会指示代理的日志记录级别。您可以从该配置文件内手动更改日志记录级别。
-
CiscoISEPICAgent.log 文件与所有日志记录消息一起存储。
-
nodes.txt 文件包含部署中可与代理进行通信的所有节点的列表。代理会访问列表中的第一个节点。如果无法访问该节点,代理将根据列表中节点的顺序继续尝试通信。对于手动安装,必须打开文件并输入节点 IP 地址。(手动或自动)安装完成后,便只能通过手动更新该文件来对其进行更改。打开文件,然后根据需要添加、更改或删除节点 IP 地址。
-
思科 ISE PassiveID 代理服务在机器上运行,您可从“Windows 服务”对话框管理该机器。
-
ISE-PIC 最多支持 100 个域控制器,而每个代理最多可以监控 10 个域控制器。要监控 100 个域控制器,必须配置 10 个代理。
-
仅在 Windows Server 2008 及更高版本上支持 Active Directory 代理。如果无法安装代理,则对被动身份服务使用 Active Directory 探测器。有关详细信息,请参阅Active Directory 作为探测器和提供程序。
注 |
即使您在成员服务器上运行 AD 代理,它也仍会在 Active Directory 中查询登录请求。 |
自动安装并部署 Active Directory 代理
开始之前
-
从服务器端对相关 DNS 服务器配置反向查找。有关 ISE-PIC 的 DNS 服务器配置要求的详细信息,请参阅 DNS 服务器
-
确保在指定用于代理的机器上更新 Microsoft .NET Framework,最低更新至版本 4.0。有关 .NET Framework 的详细信息,请参阅 https://www.microsoft.com/net/framework。
-
创建 AD 加入点,并至少添加一个域控制器。有关创建加入点的详细信息,请参阅Active Directory 作为探测器和提供程序。
对 AD、代理、SPAN 和系统日志探测器使用 AD 用户组。有关 AD 组的详细信息,请参阅配置 Active Directory 用户组。
过程
步骤 1 |
选择 。 |
步骤 2 |
要添加新客户端,请从表的顶部单击添加 (Add)。 |
步骤 3 |
要创建新代理并将其自动安装到您在此配置中指示的主机上,请选择部署新代理 (Deploy New Agent)。 |
步骤 4 |
填写所有必填字段,以便正确配置客户端。有关详细信息,请参阅Active Directory 代理设置。 |
步骤 5 |
单击部署 (Deploy)。 |
步骤 6 |
选择 以查看当前配置的所有接入点。 |
步骤 7 |
单击您要从中启用所创建代理的接入点的链接。 |
步骤 8 |
选择被动 ID (Passive ID) 选项卡以配置您作为前提条件的一部分而添加的域控制器。 |
步骤 9 |
选择您要通过所创建代理来监控的域控制器,然后单击编辑 (Edit)。 |
步骤 10 |
从协议 (Protocol) 下拉列表中,选择代理 (Agent)。 |
步骤 11 |
从代理 (Agent) 下拉列表中选择您创建的代理。输入您创建的代理的用户名和密码凭证(如果有),然后单击保存 (Save)。 |
手动安装并部署 Active Directory 代理
开始之前
-
从服务器端对相关 DNS 服务器配置反向查找。有关 ISE-PIC 的 DNS 服务器配置要求的详细信息,请参阅 DNS 服务器
-
确保在指定用于代理的机器上更新 Microsoft .NET Framework,最低更新至版本 4.0。有关 .NET Framework 的详细信息,请参阅 https://www.microsoft.com/net/framework。
-
创建 AD 加入点,并至少添加一个域控制器。有关创建加入点的详细信息,请参阅Active Directory 作为探测器和提供程序。
对 AD、代理、SPAN 和系统日志探测器使用 AD 用户组。有关 AD 组的详细信息,请参阅配置 Active Directory 用户组。
过程
步骤 1 |
选择 。 |
步骤 2 |
单击下载代理 (Download Agent) 以下载 picagent-installer.zip 文件进行手动安装。 |
步骤 3 |
将此 zip 文件置于指定主机并运行安装。 |
步骤 4 |
从 ISE-PIC GUI 中,同样依次选择 。 |
步骤 5 |
要配置新代理,请从表的顶部单击添加 (Add)。 |
步骤 6 |
要配置已在主机上安装的代理,请选择注册现有代理 (Register Existing Agent)。 |
步骤 7 |
填写所有必填字段,以便正确配置客户端。有关详细信息,请参阅Active Directory 代理设置。 |
步骤 8 |
单击保存 (Save)。 |
步骤 9 |
依次选择 以查看当前配置的所有接入点。 |
步骤 10 |
单击您要从中启用所创建代理的接入点的链接。 |
步骤 11 |
选择被动 ID (Passive ID) 选项卡以配置您作为前提条件的一部分而添加的域控制器。 |
步骤 12 |
选择您要通过所创建代理来监控的域控制器,然后单击编辑 (Edit)。 |
步骤 13 |
从协议 (Protocol) 下拉列表中,选择代理 (Agent)。 |
步骤 14 |
从代理 (Agent) 下拉列表中选择您创建的代理。输入您创建的代理的用户名和密码凭证(如果有),然后单击保存 (Save)。 |
卸载代理
过程
步骤 1 |
在 Windows 对话框中,转至程序和功能。 |
步骤 2 |
在已安装程序的列表中,查找并选择思科 ISE 被动 ID 代理。 |
步骤 3 |
单击卸载 (Uninstall)。 |
Active Directory 代理设置
允许 ISE-PIC 在网络中的指定主机上自动安装代理,以从不同的域控制器 (DC) 检索用户身份信息并向 ISE-PIC 订户提供此信息。
要创建和管理代理,请依次选择自动安装并部署 Active Directory 代理。
。请参阅字段名称 | 说明 |
---|---|
名称 |
您配置的代理名称。 |
主机 |
安装代理的主机的完全限定域名。 |
监控 |
此为指定代理所监控的域控制器的逗号分隔列表。 |
字段 | 说明 |
---|---|
“部署新代理”(Deploy New Agent) 或“注册现有代理”(Register Existing Agent) |
|
名称 |
输入可用于轻松识别代理的名称。 |
说明 |
输入可用于轻松识别代理的说明。 |
主机 FQDN |
此为已安装代理(注册现有代理)或将要安装代理(自动部署)的主机的完全限定域名。 |
用户名 |
输入用户名以访问要安装代理的主机。ISE-PIC 将使用这些凭证为您安装代理。 |
密码 |
输入用户密码以访问要安装代理的主机。ISE-PIC 将使用这些凭证为您安装代理。 |