通过 被动身份代理 进行用户控制

以下主题讨论如何配置和使用被动身份代理

被动身份代理 身份源

被动身份代理 身份源将会话数据从 Microsoft Active Directory (AD) 发送到 Cisco Secure Firewall Management Center。您只需要 关于领域和领域序列中讨论的受支持的 Microsoft AD 设置即可。

被动身份代理 版本 1.0 仅发送 IPv4 用户会话,但版本 1.1 发送 IPv4 和 IPv6 用户会话。


您无需配置Cisco Identity Services Engine (ISE) 即可使用此身份源。

被动身份代理 角色

被动身份代理 支持以下角色:

  • 独立:不属于冗余对的 被动身份代理 。独立代理可以从多个 Active Directory 服务器和域控制器下载用户和组,前提是所有这些服务器和域控制器上都安装了该软件。

  • 主:(冗余对中的主代理。)可以安装在 Microsoft AD 域控制器、目录服务器或任何网络客户端上。

    处理与 Cisco Secure Firewall Management Center 的所有通信,除非它停止通信,在这种情况下,通信将由辅助代理处理。

  • 辅助:(冗余对中的辅助或备份代理。)可以安装在 Microsoft AD 域控制器、目录服务器或任何网络客户端上。

    监控主代理的运行状况,并在主代理停止与 Cisco Secure Firewall Management Center通信时进行接管。

被动身份代理 系统要求

被动身份代理 需要满足以下条件:

  • 如果将其安装在 Windows Active Directory 服务器上,则该服务器必须运行 Windows 服务器 2008 或更高版本。

  • 如果将其安装在连接到域的 Windows 客户端上,则客户端必须运行 Windows 8 或更高版本。

  • 所有系统的系统时钟必须同步。强烈建议在所有这些服务器上使用相同的 NTP 服务器。这意味着:

    • Cisco Secure Firewall Management Center

      有关详细信息,请参阅时间同步

    • 所有 Windows Active Directory 服务器和域控制器。

    • 安装了 被动身份代理 的计算机。

  • Cisco Secure Firewall Management Center 必须运行 7.6 或更高版本。

  • Cisco Secure Firewall Threat Defense 管理的任何 Cisco Secure Firewall Management Center 都必须运行 7.0.x 或更高版本。

  • 您必须在 Cisco Secure Firewall Threat Defense 设备上启用 Snort 3。

被动身份代理 限制

被动身份代理 以下限制:

  • 最多同时有 10 个代理

  • 一个 被动身份代理 身份源最多可以监控 50 个 AD 目录

  • 最多 300,000 个并发用户会话

  • 支持 IPv6 地址 (被动身份代理 1.0)

  • 不支持 IPv6 地址 (被动身份代理 1.1)

部署 被动身份代理

有关部署选项的信息,请参阅 部署 被动身份代理

建议您使用最新版本的 被动身份代理。要查看可用版本,请转至 software.cisco.com。要升级 被动身份代理,请参阅升级 被动身份代理 软件

部署 被动身份代理

您可以在属于您想要用于用户感知和控制的 Microsoft Active Directory (AD) 域的任何计算机上安装 被动身份代理 软件。换句话说,您可以将其安装在以下任何位置:

  • Microsoft Active Directory 服务器

  • 域控制器

  • 连接到网络的客户端既不是目录服务器,也不是域控制器

任何特定 被动身份代理 都可以监控一个或多个 Active Directory 域。

被动身份代理 必须使用 TLS/SSL 协议与 Cisco Secure Firewall Management Center ] 通信的计算机。有关详细信息,请参阅被动身份代理 的互联网接入要求

代理类型

您可以在 Microsoft AD 目录服务器、域控制器或连接到域的任何客户端上配置以下类型的代理:

  • 独立代理:一个代理,可以监控同一域中的一个或多个 Active Directory 域控制器。

  • 可以监控同一域中的一个或多个 AD 域控制器的主代理和辅助代理:为了提供冗余,您可以在不同的计算机上安装主代理和辅助代理。主代理负责与 Cisco Secure Firewall Management Center 进行通信,但如果通信失败,则由辅助代理接管。

有关详细信息,请参阅以下主题之一:

简单 被动身份代理 部署

下图显示了最简单的 被动身份代理 部署。

最简单的 被动身份代理 是在 Active Directory 域控制器上安装一个独立代理。此代理会将用户名和 IP 信息发送到防火墙管理器

在前面的示例中,一个独立的 被动身份代理 安装在 AD 域控制器上。用户登录和注销 AD 域,代理会将用户名和 IP 地址信息发送到 Cisco Secure Firewall Management Center。当用户访问网络时,部署到 Cisco Secure Firewall Threat Defense 的访问控制和身份策略会确定是否允许访问以及如何访问。

您可以将 被动身份代理 安装在 AD 域控制器、目录服务器或连接到要监控的域的任何客户端上。

单个 被动身份代理 监控多个域控制器

下图显示了监控多个 AD 域控制器的独立 被动身份代理

一个独立的 被动身份代理 可以安装在 Active Directory 域中,并向防火墙管理器发送用户 IP 地址信息

在上图中,独立 被动身份代理 安装在连接到 AD 域的客户端上(或域控制器本身)。登录到任何域控制器的用户和代理会将用户和 IP 地址信息发送到 Cisco Secure Firewall Management Center。当用户访问网络时,部署到 Cisco Secure Firewall Threat Defense 的访问控制和身份策略会确定是否允许访问以及如何访问。

您可以将 被动身份代理 安装在 AD 域控制器、目录服务器或连接到要监控的域的任何客户端上。

多个 被动身份代理 监控多个域控制器

下图显示了监控多个 AD 域控制器的独立集群:

  • 在 AD 域 1 中,安装在与 AD 域控制器 1 连接的计算机上的独立 被动身份代理 会将用户和 IP 地址映射数据发送到 Cisco Secure Firewall Management Center

  • 在 AD 域 2 中,AD 域控制器 1 和 2 上安装的独立代理会将用户和 IP 地址映射数据发送到 Cisco Secure Firewall Management Center

您可以部署多个独立的 被动身份代理 来监控多个 Active Directory 网络,并将用户 IP 信息发送到防火墙管理器

您可以将 被动身份代理 安装在 AD 域控制器、目录服务器或连接到要监控的域的任何客户端上。

上图显示了三个 被动身份代理,而每个均配置为独立端口。为此:

  1. 创建两个 Microsoft AD 领域:每个 AD 域一个。

    请参阅创建 LDAP 领域或 Active Directory 领域和领域目录

  2. 对于 AD 域 2,创建两个目录,每个域控制器一个。

  3. 在可以登录该域的客户端上安装 被动身份代理 软件。

    单独配置每个 被动身份代理,以便与您在其上配置 被动身份代理 源的 Cisco Secure Firewall Management Center 进行通信。

    请参阅安装 被动身份代理 软件

  4. 创建 被动身份代理 身份源。

    请参阅创建主或辅助 被动身份代理 身份源

被动身份代理 主/辅助代理部署

要提供冗余并避免单点故障,您可以按照本主题中所示的任何方式配置主和辅助 被动身份代理

您可以将 被动身份代理 安装在 AD 域控制器、目录服务器或连接到要监控的域的任何客户端上。

带主代理和辅助代理的单个 AD 域控制器

下图显示如何在一个 AD 域控制器上设置主和辅助 被动身份代理。如果主代理发生故障,则辅助代理将接管其任务。

使用主和辅助 被动身份代理 的优点在于,如果主代理因任何原因无法与 Cisco Secure Firewall Management Center 通信,则辅助代理将接管。您可以使用任何其他类型的部署(换句话说,使用主/辅助代理监控一个 AD 域或多个域

要进行此项设置,请执行以下操作:

  1. 创建一个 Microsoft AD 领域,其中包含一个用于域控制器的目录。

    请参阅创建 LDAP 领域或 Active Directory 领域和领域目录

  2. 在连接到域控制器的任意两台网络计算机上安装 被动身份代理 软件。

    单独配置每个 被动身份代理,以便与您在其上配置 被动身份代理 源的 Cisco Secure Firewall Management Center 进行通信。

    请参阅安装 被动身份代理 软件

  3. 创建身份源。

    请参阅创建主或辅助 被动身份代理 身份源

多个 AD 域控制器、主和辅助代理

安装在不同 AD 域控制器上的主和辅助代理示例,所有代理都向防火墙管理器发送用户 IP 信息

上图显示了如何配置主和辅助代理以监控三个 AD 域控制器。如果主代理发生故障,则辅助代理将接管其任务。

要进行此项设置,请执行以下操作:

  1. 创建一个 Microsoft AD 领域,其中包含一个用于域控制器的目录。

    请参阅创建 LDAP 领域或 Active Directory 领域和领域目录

  2. 在连接到域控制器的任何计算机上安装 被动身份代理 软件。

    单独配置每个 被动身份代理,以便与您在其上配置 被动身份代理 源的 Cisco Secure Firewall Management Center 进行通信。

    请参阅安装 被动身份代理 软件

  3. 创建身份源。

    请参阅创建主或辅助 被动身份代理 身份源

如何创建 被动身份代理 身份源

以下提供了在 Cisco Secure Firewall Management Center 中配置 被动身份代理 身份源以及将代理软件部署到您的 Microsoft Active Directory (AD) 服务器所需的高级任务。

过程

  命令或操作 目的

步骤 1

为您的 Microsoft AD 域和域控制器创建一个领域。

领域Cisco Secure Firewall Management Center 和您监控的服务器上的用户帐户之间的连接。它们可指定该服务器的连接设置和身份验证过滤器设置。

有关详细信息,请参阅创建 LDAP 领域或 Active Directory 领域和领域目录

步骤 2

创建 被动身份代理 身份源。

身份源允许 Cisco Secure Firewall Management Center被动身份代理 相互通信。根据需要创建独立、主或辅助代理。

有关详细信息,请参阅:

步骤 3

Cisco Secure Firewall Management Center上创建 被动身份代理 用户。

我们为代理和管理器提供了一个足以相互沟通的角色。我们建议将该角色用于 被动身份代理 用户而不是其他角色。

步骤 4

安装 被动身份代理 软件。

代理的安装方式取决于您的部署。

您可以将 被动身份代理 安装在 AD 域控制器、目录服务器或连接到要监控的域的任何客户端上。

有关详细信息,请参阅:

下一步做什么

创建 LDAP 领域或 Active Directory 领域和领域目录

配置 被动身份代理

以下主题讨论如何配置 被动身份代理

创建 被动身份代理 身份源

此任务讨论如何创建一个会将用户会话活动发送到 Cisco Secure Firewall Management Center被动身份代理

开始之前

完成以下操作:

过程

步骤 1

以管理员身份登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 其他集成 > 身份源

步骤 3

集成 > 其他集成 > 身份源

步骤 4

点击被动身份代理 (Passive Identity Agent)

步骤 5

如果尚未启用 Cisco Secure Dynamic Attributes Connector ,系统会提示您启用。

有关启用 dynamic attributes connector 的详细信息,请参阅启用 Cisco Secure Dynamic Attributes Connector

步骤 6

点击创建代理 (Create Agent)

步骤 7

在“配置代理”(Configure Agent) 对话框中,输入以下信息:

项目

说明

名称

输入可标识 被动身份代理 的唯一名称。

说明

输入可选的说明。

角色

点击以下选项之一:

  • 主 (Primary):负责与 Cisco Secure Firewall Management Center 通信的代理。

    如果您选择独立 (Standalone) 则不可用。

  • 辅助 (Secondary):如果主代理与 Cisco Secure Firewall Management Center 失去联系,则其会成为主代理。

    如果您选择独立 (Standalone) 则不可用。

  • 独立 (Standalone):如果只有一个 被动身份代理

有关角色的详细信息,请参阅关于被动身份代理角色

步骤 8

继续:

创建独立 被动身份代理 身份源

此任务讨论如何配置独立 被动身份代理
开始之前

完成 创建 被动身份代理 身份源中讨论的任务。

过程

步骤 1

在“配置代理”(Configure Agent) 对话框中,输入以下信息:

项目

说明

角色

点击独立 (Standalone)

域控制器

从列表中选择每个域控制器旁边的复选框,该域控制器有一个您希望用于身份管理和用户控制的 被动身份代理

(可选。)点击 添加 (添加图标) 添加新的。

下图显示了独立 被动身份代理 身份源的示例。

在创建独立 被动身份代理 时,必须指定该领域定义的 AD 域控制器名称和 AD 域控制器

步骤 2

在“配置代理”(Configure Agent) 对话框中,点击保存 (Save)

步骤 3

在页面右上角,点击保存 (Save)

下图显示了一个示例。

必须点击页面顶部的“保存”(Save) 来保存身份源配置

 

在您创建用户并安装软件之前,被动身份代理 不会处于活动状态。

下一步做什么

创建主或辅助 被动身份代理 身份源

以下任务会从 创建 被动身份代理 身份源继续。

开始之前

完成 创建 被动身份代理 身份源中讨论的任务。

过程

步骤 1

在“配置代理”(Configure Agent) 对话框中,输入以下信息:

项目

说明

角色

点击以下选项之一:

  • 主 (Primary):负责与 Cisco Secure Firewall Management Center 通信的代理。

  • 辅助 (Secondary):如果主代理与 Cisco Secure Firewall Management Center 失去联系,则其会成为主代理。

有关角色的详细信息,请参阅关于被动身份代理角色

主代理主机名/IP 地址

(仅限主代理。)输入安装了主 被动身份代理 的服务器的完全限定域名或 IP 地址。

被动身份代理 版本 1.0 仅支持 IPv4 地址和完全限定域名。版本 1.1 支持 IPv4、IPv6 和完全限定域名。

辅助代理主机名/IP 地址

(仅限辅助代理。)输入安装了辅助 被动身份代理 的服务器的完全限定主机名或 IP 地址。

被动身份代理 版本 1.0 仅支持 IPv4 地址和完全限定域名。版本 1.1 支持 IPv4、IPv6 和完全限定域名。

主代理

(仅限辅助代理。)在列表中点击主设备的名称 被动身份代理

域控制器

(仅限主代理。)从列表中选择每个域控制器旁边的复选框,该域控制器有一个您希望用于身份管理和用户控制的 被动身份代理

下图显示了主代理的示例:

创建一个与 Cisco Secure Firewall 管理器通信的主被动身份代理。如果主代理无法与 Cisco Secure Firewall 管理器通信,辅助代理将会接管。

下图显示了辅助代理的示例:

创建辅助被动身份代理,以便在主代理停止与 Cisco Secure Firewall 管理器通信时接管主代理。

步骤 2

在“配置代理”(Configure Agent) 对话框中,点击保存 (Save)

步骤 3

在页面右上角,点击保存 (Save)

下图显示了一个示例。

在此示例中,有一个主被动身份代理和一个辅助被动身份代理监控域 forest.example.com。

 

在您创建用户并安装软件之前,被动身份代理 不会处于活动状态。

下一步做什么

关于被动身份代理角色

被动身份代理 具有以下角色:

  • 独立:不属于冗余对的 被动身份代理 。独立代理可以从多个 Active Directory 服务器和域控制器下载用户和组,前提是所有这些服务器和域控制器上都安装了该软件。

  • 主:(冗余对中的主代理。)可以安装在 Microsoft AD 域控制器、目录服务器或任何网络客户端上。

    处理与 Cisco Secure Firewall Management Center 的所有通信,除非它停止通信,在这种情况下,通信将由辅助代理处理。

  • 辅助:(冗余对中的辅助或备份代理。)可以安装在 Microsoft AD 域控制器、目录服务器或任何网络客户端上。

    监控主代理的运行状况,并在主代理停止与 Cisco Secure Firewall Management Center通信时进行接管。

可以监控属于同一域的多个 AD 域控制器。

被动身份代理 创建 Cisco Secure Firewall Management Center 用户

此任务讨论如何创建具有足够权限的 Cisco Secure Firewall Management Center 用户以便与 被动身份代理通信。此用户具有执行其他任务的有限权限;预期用户只能启用与 被动身份代理 通信。


被动身份代理 用户使用 Passive Identity User 角色。特别是, 请勿被动身份代理 用户 使用 Administrator 角色,因为当 被动身份代理Cisco Secure Firewall Management Center通信时,Administrator 将被定期注销。

开始之前

完成 创建 被动身份代理 身份源中讨论的任务。


不能被动身份代理 用户使用外部身份验证。

过程

步骤 1

以管理员身份登录 Cisco Secure Firewall Management Center

步骤 2

请点击 系统 (系统齿轮图标) > 用户 > 用户

步骤 3

点击创建用户 (Create User)

步骤 4

按照《Cisco Secure Firewall Management Center 管理指南》中的添加或编辑内部用户所述创建用户。

步骤 5

选择被动身份用户 (Passive Identity User) 角色。

下图显示了一个示例。

必须为被动身份代理用户分配被动身份用户角色,而不能分配其他角色。

 

不要为 被动身份代理 用户选择 Passive Identity User 之外的角色,否则代理将无法正常工作。

步骤 6

点击保存 (Save)

下一步做什么

关于 被动身份代理 安装

被动身份代理 故障排除

本主题讨论如何对 Windows AD 域控制器或目录服务器上的 被动身份代理 软件进行故障排除。

(可选。)设置日志级别

默认情况下,被动身份代理 会在 INFO 级别进行日志记录。(可选)要更改日志级别,请在文本编辑器中打开 C:\Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent\CiscoPassiveIdentityAgentService.exe.config ,保存文件,然后重新启动思科被动身份代理服务。

请勿重命名日志记录服务

请勿重命名 C:\Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent\CiscoPassiveIdentityAgentService.exe.config ;否则,被动身份代理 将停止生成日志文件。请勿删除或更改 .exe.config 文件扩展名。

生成故障排除文件

要生成包含故障排除文件的 .zip 文件,请执行以下操作:

  1. 登录 Microsoft Active Directory 域控制器。

  2. 启动 被动身份代理 软件。

  3. 点击窗口右上角的“故障排除”(Troubleshooting) 按钮。

    下图显示了一个示例。

    屏幕上将显示一条确认消息。

您的故障排除日志将保存到系统的 Downloads 文件夹;文件名以 TroubleshootLogs 开头。

手动查看日志文件

被动身份代理 日志文件以纯文本格式存储在代理的安装目录中:C:\Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent

使用记事本或其他文本编辑器查看这些文件。日志文件大小在达到 10 MB 后轮换。

使用 Microsoft Active Directory 事件查看器

如果在 Cisco Secure Firewall Management Center 中看不到用户会话,您可以在 Microsoft Active Directory 服务器的事件查看器中查找以下 Kerberos 相关事件:

有关审核策略的一般信息,请参阅 learn.microsoft.com 上的审核策略建议

有关 Windows 组策略对象设置的详细信息,请参阅 learn.microsoft.com 上的组策略对象

关于 被动身份代理 安装

以下主题讨论安装 被动身份代理 所需的前提条件和任务。


建议您使用最新版本的 被动身份代理。要查看可用版本,请转至 software.cisco.com。要升级 被动身份代理,请参阅升级 被动身份代理 软件

安装 被动身份代理 的前提条件

以下任务显示如何配置 Windows 组策略对象 (GPO) 安全设置,以便让 被动身份代理 记录成功和失败的 Kerberos 身份验证尝试。此设置是 被动身份代理 正常运行所必需的。

有关详细信息,请参阅 learn.microsoft.com 上的审核策略建议

开始之前

确保您的系统符合以下要求:

  • 如果将其安装在 Windows Active Directory 服务器上,则该服务器必须运行 Windows 服务器 2008 或更高版本。

  • 如果将其安装在连接到域的 Windows 客户端上,则客户端必须运行 Windows 8 或更高版本。

  • 所有系统的系统时钟必须同步。强烈建议在所有这些服务器上使用相同的 NTP 服务器。这意味着:

    • Cisco Secure Firewall Management Center

      有关详细信息,请参阅时间同步

    • 所有 Windows Active Directory 服务器和域控制器。

    • 安装了 被动身份代理 的计算机。

  • Cisco Secure Firewall Management Center 必须运行 7.6 或更高版本。

  • Cisco Secure Firewall Threat Defense 管理的任何 Cisco Secure Firewall Management Center 都必须运行 7.0.x 或更高版本。

  • 您必须在 Cisco Secure Firewall Threat Defense 设备上启用 Snort 3。

过程

步骤 1

以管理员身份登录 Active Directory 服务器。

步骤 2

以管理员身份打开 DOS 命令提示符。

步骤 3

输入 gpmc.msc 以启动组策略管理编辑器。

步骤 4

如有必要,创建新 GPO;如已存在,则进行编辑。

有关创建 GPO 的详细信息,请参阅 learn.microsoft.com 上的创建组策略对象等资源。

步骤 5

在 GPO 中,展开计算机配置 (Computer Configuration) > 策略 (Policies) > Windows 设置 (Windows Settings) > 安全设置 (Security Settings) > 高级策略配置 (Advanced Policy Configuration) > 审核策略 (Audit Policies)

步骤 6

点击帐户登录 (Account Logon)

步骤 7

在右侧窗格中,双击审核 Kerberos 验证服务 (Audit Kerberos Authentication Service)

步骤 8

在显示的对话框中,选中让系统能够记录成功和失败的所有复选框。

下图显示了一个示例。

步骤 9

按照屏幕上的提示保存更改。

步骤 10

(可选。)要立即更新 GPO,请在 DOS 命令提示符窗口中输入 gpupdate /force
下一步做什么

请参阅安装 被动身份代理 软件

安装 被动身份代理 软件

此任务讨论如何安装 被动身份代理 软件。对于简单安装,您可以将其安装在 Microsoft Active Directory (AD) 域控制器上;有关其他选项,请参阅部署 被动身份代理

建议您使用最新版本的 被动身份代理。要查看可用版本,请转至 software.cisco.com。要升级 被动身份代理,请参阅升级 被动身份代理 软件
开始之前

请参阅安装 被动身份代理 的前提条件

过程

步骤 1

software.cisco.com 下载 被动身份代理

步骤 2

以管理员组成员身份登录到要安装 被动身份代理 的计算机。

步骤 3

双击 CiscoPassiveIdentityAgentInstaller-1.1.msi

步骤 4

点击下一步 (Next)

步骤 5

选择要在其中安装 被动身份代理 的文件夹,然后点击下一步 (Next)

默认安装文件夹为 Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent

步骤 6

点击下一步 (Next)

步骤 7

点击 Install

步骤 8

完成安装后,点击完成 (Finish) ,然后可以选中此复选框以启动 被动身份代理

步骤 9

被动身份代理 启动时,如果您将代理与本地 Cisco Secure Firewall Management Center(物理或虚拟)配合使用,则点击本地 (On-Prem) 选项卡;如果您将代理与 云交付的防火墙管理中心 配合使用,则点击云 (Cloud) 选项卡。

步骤 10

在“思科被动代理”(Cisco Passive Agent) 对话框中,输入以下信息:

项目

说明

FMC FQDN / IP 地址

输入您在上面创建 被动身份代理 身份源的 Cisco Secure Firewall Management Center 的地址。

被动身份代理 版本 1.0 仅支持 IPv4 地址和完全限定域名。版本 1.1 支持 IPv4、IPv6 和完全限定域名。

端口

输入 Cisco Secure Firewall Management Center 侦听端口(默认情况下为 443)。

用户名

输入您在 为 被动身份代理 创建 Cisco Secure Firewall Management Center 用户 中创建的用户的用户名。

密码

输入用户的密码。

代理

点击列表找到您先前在 Cisco Secure Firewall Management Center 上创建的 被动身份代理 的域控制器。

下图显示了一个示例。

要安装被动身份代理软件,请在对话框中输入所需信息,然后选择要监控的域控制器。

步骤 11

点击代理 (Agent) 列表。

步骤 12

在列表中点击要监控的域控制器名称。

步骤 13

点击测试 (Test)

下图显示了一个示例。

确保在保存配置之前测试连接。

步骤 14

如果您有高可用性对,请点击我有辅助 FMC (I have Secondary FMC) ,然后输入辅助的 IP 地址或完全限定主机名及其侦听端口。

步骤 15

仅在测试成功时点击保存 (Save)
下一步做什么

卸载 被动身份代理 软件

此任务讨论如何从 Microsoft AD 服务器卸载 被动身份代理 软件。

过程

步骤 1

以管理员身份登录安装了 被动身份代理 的计算机。

步骤 2

搜索“添加或删除程序”。

步骤 3

点击思科被动身份代理 (Cisco Passive Identity Agent)

步骤 4

点击卸载 (Uninstall)

步骤 5

您需要确认卸载。

监控 被动身份代理

被动身份代理 指示如果其配置为主要-辅助代理,它是否可以与 Cisco Secure Firewall Management Center 和其他代理通信。您可以在 集成 > 其他集成 > 身份源 中查看状态。

部署

独立的 被动身份代理 表示如下。

主-辅助对表示如下。

下表解释了指示灯的含义。

对象

含义

Cisco Secure Firewall Management Center

独立 被动身份代理

Active Directory 域控制器

主代理

辅助代理

状态指示灯和颜色

被动身份代理 使用线条(指明与 Cisco Secure Firewall Management Center 的通信是主用还是备用状态)和颜色(指示通信是否成功)指示状态。

下表显示了各行和颜色的含义:

对象

含义

实线

负责与 Cisco Secure Firewall Management Center 通信的代理。

虚线

仅限主/辅助配置。充当备份代理的代理。如果活动(实线)代理之间发生通信故障,此代理将与 Cisco Secure Firewall Management Center 之间的通信。

绿色

代理通信正常。

琥珀色

代理从未成功与 Cisco Secure Firewall Management Center 通信。新创建的代理线路显示为琥珀色,并在配置完成之前保持该状态。

红色

通信失败。要解决此问题,请执行以下操作:

  • 检查以确保代理和 Cisco Secure Firewall Management Center 之间建立网络连接。

  • 确保您已完成系统(Microsoft AD 服务器、域控制器和 Cisco Secure Firewall Management Center)的配置。

    有关详细信息,请参阅 如何创建 被动身份代理 身份源

管理被动身份代理

以下主题讨论如何编辑或删除您先前在 Cisco Secure Firewall Management Center 上配置的 被动身份代理

编辑 被动身份代理

此任务讨论如何编辑您之前在 Cisco Secure Firewall Management Center 中配置的 被动身份代理

过程

步骤 1

以管理员身份登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 其他集成 > 身份源

步骤 3

点击被动身份代理 (Passive Identity Agent)

步骤 4

点击代理旁边的 编辑 (编辑图标) 进行编辑。

步骤 5

进行所需的更改。

步骤 6

点击保存 (Save)

删除独立 被动身份代理

此任务讨论如何删除独立 被动身份代理

过程

步骤 1

以管理员身份登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 其他集成 > 身份源

步骤 3

点击被动身份代理 (Passive Identity Agent)

步骤 4

点击要删除的代理旁边的 编辑 (编辑图标)

步骤 5

点击删除 (Delete)

步骤 6

您需要确认操作。

删除主和辅助 被动身份代理

此任务讨论如何删除主和辅助 被动身份代理。您必须先删除辅助代理,然后才能删除主代理。

过程

步骤 1

以管理员身份登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 其他集成 > 身份源

步骤 3

点击被动身份代理 (Passive Identity Agent)

步骤 4

点击要删除的辅助代理旁边的 编辑 (编辑图标)

步骤 5

点击删除 (Delete)

步骤 6

您需要确认操作。

步骤 7

如果要删除主代理,请先删除所有辅助代理。

被动身份代理 故障排除

本主题讨论如何对 Windows AD 域控制器或目录服务器上的 被动身份代理 软件进行故障排除。

(可选。)设置日志级别

默认情况下,被动身份代理 会在 INFO 级别进行日志记录。(可选)要更改日志级别,请在文本编辑器中打开 C:\Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent\CiscoPassiveIdentityAgentService.exe.config ,保存文件,然后重新启动思科被动身份代理服务。

请勿重命名日志记录服务

请勿重命名 C:\Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent\CiscoPassiveIdentityAgentService.exe.config ;否则,被动身份代理 将停止生成日志文件。请勿删除或更改 .exe.config 文件扩展名。

生成故障排除文件

要生成包含故障排除文件的 .zip 文件,请执行以下操作:

  1. 登录 Microsoft Active Directory 域控制器。

  2. 启动 被动身份代理 软件。

  3. 点击窗口右上角的“故障排除”(Troubleshooting) 按钮。

    下图显示了一个示例。

    屏幕上将显示一条确认消息。

您的故障排除日志将保存到系统的 Downloads 文件夹;文件名以 TroubleshootLogs 开头。

手动查看日志文件

被动身份代理 日志文件以纯文本格式存储在代理的安装目录中:C:\Program Files\Program Files (x86)\Cisco\Cisco Passive Identity Agent

使用记事本或其他文本编辑器查看这些文件。日志文件大小在达到 10 MB 后轮换。

使用 Microsoft Active Directory 事件查看器

如果在 Cisco Secure Firewall Management Center 中看不到用户会话,您可以在 Microsoft Active Directory 服务器的事件查看器中查找以下 Kerberos 相关事件:

有关审核策略的一般信息,请参阅 learn.microsoft.com 上的审核策略建议

有关 Windows 组策略对象设置的详细信息,请参阅 learn.microsoft.com 上的组策略对象

被动身份代理 的安全要求

为了保护,应将 被动身份代理 安装在受保护的内部网络中。虽然被动身份代理被配置为仅提供必要的服务和端口,但您必须确保该防御中心不会受到攻击。

如果 被动身份代理Cisco Secure Firewall Management Center 位于同一个网络,您可以将 Cisco Secure Firewall Management Center 连接到与 被动身份代理 相同的受保护内部网络。

无论如何部署设备,内部系统通信将始终加密。但是,您仍需采取措施,确保设备之间的通信不会出现中断、阻塞或受到篡改;例如,遭受分布式拒绝服务 (DDoS) 或中间人攻击。

被动身份代理 的互联网接入要求

默认情况下,被动身份代理 会被配置为使用端口 443/tcp (HTTPS) 上的 HTTPS 通过互联网与 Firepower 系统通信。如果您不希望 被动身份代理 直接访问互联网,则可以配置代理服务器。

以下信息告知您 被动身份代理 用于相互通信、与 Cisco Secure Firewall Management Center 以及与 Microsoft Active Directory 通信的端口。

表 1. 被动身份代理 端口要求
端口 原因

443

Cisco Secure Firewall Management Center 通信。

135

使用 MSRPC 协议与 Microsoft Active Directory 通信。

9095

使用 UDP 协议相互通信。

被动身份代理 的历史记录

表 2. 被动身份代理 的历史记录

功能

管理中心最低版本

威胁防御最低版本

详细信息

被动身份代理

7.6

7.6

引入了此功能。

被动身份代理 版本 1.1 与 7.6.0 及更高版本兼容,并添加了以下内容:

  • 您可以使用 FQDN、IPv4 或 IPv6 从 被动身份代理 连接到 Cisco Secure Firewall Management Center思科防御协调器

  • 从 Microsoft Active Directory (AD) 向管理中心发送 IPv4 和 IPv6 用户会话。

  • 您可以压缩故障排除日志。

  • 在启动 被动身份代理 软件时,系统将显示前提条件列表。

被动身份代理身份源将会话数据从 Microsoft Active Directory (AD) 发送到管理中心。以下设备支持被动身份代理软件:

  • Microsoft AD 服务器(Windows Server 2008 或更高版本)

  • Microsoft AD 域控制器(Windows Server 2008 或更高版本)

  • 连接到要监控的域的任何客户端(Windows 8 或更高版本)