Cisco Secure Dynamic Attributes Connector 具有以下内存要求：

上述限制适用于虚拟机和物理机。

系统会阻止您超出上述限制，因为可能会导致部署问题。

连接器是云服务的接口。连接器从云服务检索网络信息，以便网络信息可用于 Cisco Secure Firewall Management Center上的访问控制策略。

我们支持以下内容：

有关详细信息，请参阅以下各节之一：

• Amazon Web 服务 (AWS)

  有关更多信息，请参阅 Amazon 文档站点上的标记 AWS 资源等资源。

  请参阅Amazon Web 服务连接器 - 关于用户权限和导入的数据。

• Amazon Web 服务安全组。

  有关详细信息，请参阅使用安全组等资源。

  请参阅Amazon Web 服务安全组连接器 - 关于用户权限和导入的数据。

• Amazon Web 服务标签。

  有关详细信息，请参阅什么是标记？等资源。

  请参阅创建 AWS 服务标签连接器。

• 指定的 IP 地址的通用文本列表

  有关详细信息，请参阅创建通用文本连接器。

• GitHub

  有关详细信息，请参阅创建 GitHub 连接器。

• Google Cloud

  有关详细信息，请参阅 Google 云文档中的设置环境。

  请参阅Google 云连接器 - 关于用户权限和导入的数据。

• Microsoft Azure

  有关详细信息，请参阅 Azure 文档网站上的本页面。

  请参阅Azure 连接器 - 关于用户权限和导入的数据。

• Microsoft Azure 服务器标签

  有关详细信息，请参阅 Microsoft TechNet 上的虚拟网络服务标签等资源。

  请参阅创建 Azure 服务标签连接器

• Office 365 IP 地址

  有关详细信息，请参阅 docs.microsoft.com 上的 Office 365 URL 和 IP 地址范围。

• vCenter 和 NSX-T 管理的 VMware 类别和标签

  有关详细信息，请参阅 VMware 文档站点中 vSphere 标签和属性等资源。

• Webex IP 地址

  有关详细信息，请参阅创建 Webex 连接器。

• Zoom IP 地址

  有关详细信息，请参阅创建 Zoom 连接器。

在事件中无法自动获取证书颁发机构链，使用以下浏览器特定程序之一获取用于安全连接到 vCenter 或 管理中心。

证书链是根证书和所有从属证书。

您可以选择使用以下程序之一连接到以下设备：

• vCenter 或 NSX

• 管理中心

获取证书链 - Mac（Chrome 和 Firefox）

使用此程序在 Mac OS 上使用 Chrome 和 Firefox 浏览器来获取证书链。

1. 打开终端窗口。

2. 输入以下命令。

   security verify-cert -P url[:port]

   其中 url 是 vCenter 或 管理中心 的 URL（包括方案）。 例如：

   security verify-cert -P https://myvcenter.example.com

   如果使用 NAT 或 PAT 访问 vCenter 或 管理中心，可以按如下方式添加端口：

   security verify-cert -P https://myvcenter.example.com:12345

3. 将整个证书链保存到纯文本文件中。

   • 包括所有 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 分隔符。

   • 排除任何无关的文本（例如，证书的名称和尖括号 (< and >) 中包含的任何文本以及尖括号本身。

4. 对 vCenter 或 管理中心 重复这些任务。

获取证书链 - Windows Chrome

使用此程序在 Windows 上使用 Chrome 浏览器来获取证书链。

1. 使用 Chrome 登录 vCenter 或 管理中心。

2. 在浏览器地址栏中点击主机名左侧的锁图标。

3. 点击证书 (Certificate)。

4. 点击认证路径 (Certification Path) 选项卡。

5. 点击证书链中顶部的（即第一个）证书。

6. 点击查看证书 (View Certificates)。

7. 点击详细信息 (Details) 选项卡。

8. 点击复制到文件 (Copy to File)。

9. 按照提示创建包含整个证书链的 CER 格式证书文件。

   当系统提示您选择导出文件格式时，点击 Base 64-Encoded X.509 (.CER)，如下图所示。

   

10. 按照提示完成导出。

11. 在文本编辑器中打开证书。

12. 对证书链中的所有证书重复此过程。

    您必须先按顺序将每个证书粘贴到文本编辑器中。

13. 对 vCenter 或 管理中心 重复这些任务。

获取证书链 - Windows Firefox

使用以下程序为 Windows 或 Mac OS 上的 Firefox 浏览器来获取证书链。

1. 使用 Firefox 登录 vCenter 或 管理中心。

2. 点击主机名左侧的锁图标。

3. 点击右箭头（显示连接详细信息）。下图显示了一个示例。

   

4. 点击更多信息 (More Information)。

5. 点击查看证书 (View Certificates)。

6. 如果生成的对话框包含选项卡页面，请点击与顶层 CA 对应的选项卡页面。

7. 滚动到“其他”(Miscellaneous) 部分。

8. 点击下载行中的 PEM（链）(PEM [chain])。下图显示了一个示例。

   

9. 保存文件。

10. 对 vCenter 或 管理中心 重复这些任务。

为了帮助您进行高级故障排除和使用思科 TAC，我们提供L 以下故障排除工具。要使用这些工具，请以任何用户身份登录运行 dynamic attributes connector 的 Ubuntu 主机。

检查容器状态

要检查 dynamic attributes connector Docker 容器的状态，请输入以下命令：

cd /usr/local/sf/csdac
sudo ./muster-cli status

输出示例如下：

=============================================== CORE SERVICES ===============================================
          Name                        Command               State                   Ports                
---------------------------------------------------------------------------------------------------------
muster-bee                 /bin/sh -c /app/bee              Up      127.0.0.1:15050->50050/tcp, 50443/tcp
muster-envoy               /docker-entrypoint.sh runs ...   Up      127.0.0.1:6443->8443/tcp             
muster-local-fmc-adapter   ./docker-entrypoint.sh run ...   Up                                           
muster-ui-backend          ./docker-entrypoint.sh run ...   Up      50031/tcp                            
muster-user-analysis       ./docker-entrypoint.sh run ...   Up      50070/tcp                            
=========================== CONNECTORS AND ADAPTERS ===========================
             Name                           Command               State     Ports  
-----------------------------------------------------------------------------------
muster-connector-o365.1.muster   ./docker-entrypoint.sh run ...   Up      50070/tcp

停止、启动或重新启动 Cisco Secure Dynamic Attributes Connector Docker容器

如果 ./muster-cli status 指示容器已关闭或在出现问题时重新启动容器，您可以输入以下命令：

停止并重新启动：

cd ~/csdac/app
sudo ./muster-cli stop
sudo ./muster-cli start

仅启动：

cd ~/csdac/app
sudo ./muster-cli start

启用应用调试日志记录并生成故障排除文件

如果思科 TAC 建议这样做，请启用调试日志记录并生成故障排除文件，如下所示：

cd ~/csdac/app
sudo ./muster-cli debug-on
sudo ./muster-cli ts-gen

故障排除文件名为 ts-bundle-timestamp.tar 并在同一目录中创建。

下表显示了故障排除文件的位置以及故障排除文件中的日志。

为容器启用调试

如果您首先按如下方式获取容器的名称，则可以选择为单个容器启用调试：

cd /usr/local/sf/csdac
sudo ./muster-cli versions

输出示例如下：

CSDAC version: 1.0.0
CONTAINERS VERSIONS
CONTAINER                      | APP VERSION          | COMMIT                        
===============================================================================
muster-bee                     | fmc7.4-13            | 944d50c6c384567693d6ecc5a31420de57f6ce2f
muster-envoy                   | fmc7.4-25            | 5e5f6d83164a4acbef5b106aa39e2e3f68fa738f
muster-local-fmc-adapter       | fmc7.4-17            | c5902f818baa8e27d7c0b8027490dcacc28c0168
muster-ui-backend              | fmc7.4-64            | 165a1f5f0d763aa75829a30b5ffbddf0012682b6
muster-user-analysis           | fmc7.4-43            | 63cd64e29a92599908c3eb684d91e9f685d8c740
muster-connector-o365.1.muster | fmc7.4-8             | 28f075d315c8867f667b828970c9fbad35fa89cc

例如，要为 Office 365 连接器启用调试，请输入以下命令。

sudo ./muster-cli container-debug-on muster-connector-o365.1.muster

要禁用该连接器的调试，请输入以下命令。

sudo ./muster-cli container-debug-off muster-connector-o365.1.muster

验证 Cisco Secure Firewall Management Center 上的动态对象

要验证连接器是否正在 Cisco Secure Firewall Management Center 上创建对象，您可以在 Cisco Secure Firewall Management Center 上以管理员身份使用以下命令：

sudo tail f /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

示例：成功创建对象

26-Aug-2021 12:41:35.912,[INFO],(DefenseCenterServiceImpl.java:1442)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-10
** REST Request [ CSM ]
** ID : 18b25356-fd6b-4cc4-8d27-bbccb52a6275
** URL: POST /audit
{
  "version": "7.1.0",
  "requestId": "18b25356-fd6b-4cc4-8d27-bbccb52a6275",
  "data": {
    "userName": "csdac-centos7",
    "subsystem": "API",
    "message": "POST https://myfmc.example.com/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f
/object/dynamicobjects Created (201) - The request has been fulfilled and resulted in a new resource being created",
    "sourceIP": "192.0.2.103",
    "domainUuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f",
    "time": "1629981695431"
  },
  "deleteList": []
}

在事件中无法自动获取证书颁发机构链，使用以下浏览器特定程序之一获取用于安全连接到 vCenter 或 管理中心。

证书链是根证书和所有从属证书。

您可以选择使用以下程序之一连接到以下设备：

• vCenter 或 NSX

• 管理中心

获取证书链 - Mac（Chrome 和 Firefox）

使用此程序在 Mac OS 上使用 Chrome 和 Firefox 浏览器来获取证书链。

1. 打开终端窗口。

2. 输入以下命令。

   security verify-cert -P url[:port]

   其中 url 是 vCenter 或 管理中心 的 URL（包括方案）。 例如：

   security verify-cert -P https://myvcenter.example.com

   如果使用 NAT 或 PAT 访问 vCenter 或 管理中心，可以按如下方式添加端口：

   security verify-cert -P https://myvcenter.example.com:12345

3. 将整个证书链保存到纯文本文件中。

   • 包括所有 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 分隔符。

   • 排除任何无关的文本（例如，证书的名称和尖括号 (< and >) 中包含的任何文本以及尖括号本身。

4. 对 vCenter 或 管理中心 重复这些任务。

获取证书链 - Windows Chrome

使用此程序在 Windows 上使用 Chrome 浏览器来获取证书链。

1. 使用 Chrome 登录 vCenter 或 管理中心。

2. 在浏览器地址栏中点击主机名左侧的锁图标。

3. 点击证书 (Certificate)。

4. 点击认证路径 (Certification Path) 选项卡。

5. 点击证书链中顶部的（即第一个）证书。

6. 点击查看证书 (View Certificates)。

7. 点击详细信息 (Details) 选项卡。

8. 点击复制到文件 (Copy to File)。

9. 按照提示创建包含整个证书链的 CER 格式证书文件。

   当系统提示您选择导出文件格式时，点击 Base 64-Encoded X.509 (.CER)，如下图所示。

   

10. 按照提示完成导出。

11. 在文本编辑器中打开证书。

12. 对证书链中的所有证书重复此过程。

    您必须先按顺序将每个证书粘贴到文本编辑器中。

13. 对 vCenter 或 管理中心 重复这些任务。

获取证书链 - Windows Firefox

使用以下程序为 Windows 或 Mac OS 上的 Firefox 浏览器来获取证书链。

1. 使用 Firefox 登录 vCenter 或 管理中心。

2. 点击主机名左侧的锁图标。

3. 点击右箭头（显示连接详细信息）。下图显示了一个示例。

   

4. 点击更多信息 (More Information)。

5. 点击查看证书 (View Certificates)。

6. 如果生成的对话框包含选项卡页面，请点击与顶层 CA 对应的选项卡页面。

7. 滚动到“其他”(Miscellaneous) 部分。

8. 点击下载行中的 PEM（链）(PEM [chain])。下图显示了一个示例。

   

9. 保存文件。

10. 对 vCenter 或 管理中心 重复这些任务。