此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
要将 TS 代理用作用户感知和用户控制的身份源,请按照《思科终端服务 (TS) 代理指南》中所述安装和配置 TS 代理软件。
下一步做什么:
使用创建身份策略中所述的身份策略指定要控制的用户和其他选项。
按将其他策略与访问控制相关联中所述,将身份规则与可以过滤和选择性检查流量的访问控制策略相关联。
将身份和访问控制策略部署到受管设备,如部署配置更改中所述。
监控用户活动, 如 《Cisco Secure Firewall Management Center 管理指南》 中使用工作流程 所述。
TS 代理是一种被动身份验证方式,并且是系统支持的授权身份源之一。Windows 终端服务器执行身份验证,然后 TS 代理将其报告给独立版或高可用性的 管理中心。
当安装在 Windows 终端服务器上时,TS 代理在个人用户登录或注销受监控网络时向其分配唯一端口范围。管理中心使用唯一端口识别系统中的个人用户。您可以使用一个 TS 代理监控一台 Windows 终端服务器上的用户活动,并将加密数据发送到一个 管理中心。
TS 代理不报告失败的登录尝试。从 TS 代理获取的数据可用于用户感知和用户控制。
TS 代理需要多步骤配置,并且包括以下内容:
已安装并配置 TS 代理的 Windows 终端服务器。
一个或多个针对服务器所监控用户的身份领域。
在 Microsoft Windows 终端服务器上安装 TS 代理。有关多步骤 TS 代理安装和配置的详细信息以及服务器和 Firepower 系统要求的全面介绍,请参阅《思科终端服务 (TS) 代理指南》。
TS 代理数据显示在“用户”(Users)、“用户活动”(User Activity) 和“连接事件”(Connection Event) 表中,并可用于用户感知和用户控制。
 注 |
如果 TS 代理监控与其他被动身份验证身份源(ISE/ISE-PIC)相同的用户,则 管理中心 会划分 TS 代理数据的优先级。如果 TS 代理和另一个被动身份源通过同一 IP 地址报告活动,则仅会将 TS 代理数据记录到 管理中心。 |
要将 TS 代理用作用户感知和用户控制的身份源,请按照《思科终端服务 (TS) 代理指南》中所述安装和配置 TS 代理软件。
下一步做什么:
使用创建身份策略中所述的身份策略指定要控制的用户和其他选项。
按将其他策略与访问控制相关联中所述,将身份规则与可以过滤和选择性检查流量的访问控制策略相关联。
将身份和访问控制策略部署到受管设备,如部署配置更改中所述。
监控用户活动, 如 《Cisco Secure Firewall Management Center 管理指南》 中使用工作流程 所述。
有关其他相关故障排除信息,请参阅领域和用户下载故障排除和用户控制故障排除。
如果您遇到 TS 代理集成问题,请检查:
您必须将 TS 代理服务器上的时间与 管理中心上的时间进行同步。
如果 TS 代理监控与其他被动身份验证身份源(ISE/ISE-PIC)相同的用户,则 管理中心 会划分 TS 代理数据的优先级。如果 TS 代理和一个被动身份源通过同一 IP 地址报告活动,则仅会将 TS 代理数据记录到 管理中心。
活动 FTP 会话在事件中显示为Unknown 用户。此为正常现象,因为在活动 FTP 中,会由服务器(而非客户端)发起连接,而 FTP 服务器则不应具有关联的用户名。有关活动 FTP 的详细信息,请参阅 RFC 959。
有关故障排除更多信息,请参阅 《思科终端服务 (TS) 代理指南》。
|
功能 |
最低 管理中心 |
最低 威胁防御 |
详情 |
|---|---|---|---|
|
TS 代理用于用户控制。 |
7.2.0 |
6.2.0 |
引入的功能。Firepower 现在提供更好地识别共享环境中各个用户的功能(例如 Citrix 的虚拟桌面基础架构 (VDI)),以便对防火墙准确地实施基于用户的策略规则。通过使用的端口识别用户。 TS 代理软件的更新与 Firepower 管理中心无关。有关详情,请参阅:
|
反馈