Cisco Secure Dynamic Attributes Connector 具有以下内存要求：

上述限制适用于虚拟机和物理机。

系统会阻止您超出上述限制，因为可能会导致部署问题。

连接器是云服务的接口。连接器从云服务检索网络信息，以便网络信息可用于 Cisco Secure Firewall Management Center上的策略。

我们支持以下内容：

在事件中无法自动获取证书颁发机构链，使用以下浏览器特定程序之一获取用于安全连接到 vCenter、 防火墙管理中心。

证书链是根证书和所有从属证书。

您可以选择使用以下程序之一连接到以下设备：

• vCenter 或 NSX

• 防火墙管理中心

• 思科 APIC

获取证书链 - Mac（Chrome 和 Firefox）

使用此程序在 Mac OS 上使用 Chrome 和 Firefox 浏览器来获取证书链。

1. 打开终端窗口。

2. 输入以下命令。

   security verify-cert -P url[:port]

   其中 url 是 vCenter、 防火墙管理中心 的 URL（包括方案）。例如：

   security verify-cert -P https://myvcenter.example.com

   如果使用 NAT 或 PAT 访问 vCenter、 防火墙管理中心，可以按如下方式添加端口：

   security verify-cert -P https://myvcenter.example.com:12345

3. 将整个证书链保存到纯文本文件中。

   • 包括所有 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 分隔符。

   • 排除任何无关的文本（例如，证书的名称和尖括号 (< and >) 中包含的任何文本以及尖括号本身。

4. 对 vCenter 防火墙管理中心 重复这些任务。

获取证书链 - Windows Chrome

使用此程序在 Windows 上使用 Chrome 浏览器来获取证书链。

1. 使用 Chrome 登录 vCenter、 防火墙管理中心。

2. 在浏览器地址栏中点击主机名左侧的锁图标。

3. 点击证书 (Certificate)。

4. 点击认证路径 (Certification Path) 选项卡。

5. 点击证书链中顶部的（即第一个）证书。

6. 点击查看证书 (View Certificates)。

7. 点击详细信息 (Details) 选项卡。

8. 点击复制到文件 (Copy to File)。

9. 按照提示创建包含整个证书链的 CER 格式证书文件。

   当系统提示您选择导出文件格式时，点击 Base 64-Encoded X.509 (.CER)，如下图所示。

   

10. 按照提示完成导出。

11. 在文本编辑器中打开证书。

12. 对证书链中的所有证书重复此过程。

    您必须先按顺序将每个证书粘贴到文本编辑器中。

13. 对 vCenter、 防火墙管理中心 重复这些任务。

获取证书链 - Windows Firefox

使用以下程序为 Windows 或 Mac OS 上的 Firefox 浏览器来获取证书链。

1. 使用 Firefox 登录 vCenter、 防火墙管理中心。

2. 点击主机名左侧的锁图标。

3. 点击右箭头（显示连接详细信息）。下图显示了一个示例。

   

4. 点击更多信息 (More Information)。

5. 点击查看证书 (View Certificates)。

6. 如果生成的对话框包含选项卡页面，请点击与顶层 CA 对应的选项卡页面。

7. 滚动到“其他”(Miscellaneous) 部分。

8. 点击下载行中的 PEM（链）(PEM [chain])。下图显示了一个示例。

   

9. 保存文件。

10. 对 vCenter、 防火墙管理中心 重复这些任务。

为了帮助您进行高级故障排除和使用思科 TAC，我们提供L 以下故障排除工具。要使用这些工具，请以任何用户身份登录运行 dynamic attributes connector 的 Ubuntu 主机。

检查容器状态

要检查 dynamic attributes connector Docker 容器的状态，请输入以下命令：

cd /usr/local/sf/csdac
sudo ./muster-cli status

输出示例如下：

=============================================== CORE SERVICES ===============================================
          Name                        Command               State                   Ports                
---------------------------------------------------------------------------------------------------------
muster-bee                 /bin/sh -c /app/bee              Up      127.0.0.1:15050->50050/tcp, 50443/tcp
muster-envoy               /docker-entrypoint.sh runs ...   Up      127.0.0.1:6443->8443/tcp             
muster-local-fmc-adapter   ./docker-entrypoint.sh run ...   Up                                           
muster-ui-backend          ./docker-entrypoint.sh run ...   Up      50031/tcp                            
muster-user-analysis       ./docker-entrypoint.sh run ...   Up      50070/tcp                            
=========================== CONNECTORS AND ADAPTERS ===========================
             Name                           Command               State     Ports  
-----------------------------------------------------------------------------------
muster-connector-o365.1.muster   ./docker-entrypoint.sh run ...   Up      50070/tcp

停止、启动或重新启动 Cisco Secure Dynamic Attributes Connector Docker容器

如果 ./muster-cli status 指示容器已关闭或在出现问题时重新启动容器，您可以输入以下命令：

停止并重新启动：

cd ~/csdac/app
sudo ./muster-cli stop
sudo ./muster-cli start

仅启动：

cd ~/csdac/app
sudo ./muster-cli start

启用应用调试日志记录并生成故障排除文件

如果思科 TAC 建议这样做，请启用调试日志记录并生成故障排除文件，如下所示：

cd ~/csdac/app
sudo ./muster-cli debug-on
sudo ./muster-cli ts-gen

故障排除文件名为 ts-bundle-timestamp.tar 并在同一目录中创建。

下表显示了故障排除文件的位置以及故障排除文件中的日志。

为容器启用调试

如果您首先按如下方式获取容器的名称，则可以选择为单个容器启用调试：

cd /usr/local/sf/csdac
sudo ./muster-cli versions

输出示例如下：

CSDAC version: 1.0.0
CONTAINERS VERSIONS
CONTAINER                      | APP VERSION          | COMMIT                        
===============================================================================
muster-bee                     | fmc7.4-13            | 944d50c6c384567693d6ecc5a31420de57f6ce2f
muster-envoy                   | fmc7.4-25            | 5e5f6d83164a4acbef5b106aa39e2e3f68fa738f
muster-local-fmc-adapter       | fmc7.4-17            | c5902f818baa8e27d7c0b8027490dcacc28c0168
muster-ui-backend              | fmc7.4-64            | 165a1f5f0d763aa75829a30b5ffbddf0012682b6
muster-user-analysis           | fmc7.4-43            | 63cd64e29a92599908c3eb684d91e9f685d8c740
muster-connector-o365.1.muster | fmc7.4-8             | 28f075d315c8867f667b828970c9fbad35fa89cc

例如，要为 Office 365 连接器启用调试，请输入以下命令。

sudo ./muster-cli container-debug-on muster-connector-o365.1.muster

要禁用该连接器的调试，请输入以下命令。

sudo ./muster-cli container-debug-off muster-connector-o365.1.muster

验证 Cisco Secure Firewall Management Center 上的动态对象

要验证连接器是否正在 Cisco Secure Firewall Management Center 上创建对象，您可以在 Cisco Secure Firewall Management Center 上以管理员身份使用以下命令：

sudo tail f /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

示例：成功创建对象

26-Aug-2021 12:41:35.912,[INFO],(DefenseCenterServiceImpl.java:1442)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-10
** REST Request [ CSM ]
** ID : 18b25356-fd6b-4cc4-8d27-bbccb52a6275
** URL: POST /audit
{
  "version": "7.1.0",
  "requestId": "18b25356-fd6b-4cc4-8d27-bbccb52a6275",
  "data": {
    "userName": "csdac-centos7",
    "subsystem": "API",
    "message": "POST https://myfmc.example.com/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f
/object/dynamicobjects Created (201) - The request has been fulfilled and resulted in a new resource being created",
    "sourceIP": "192.0.2.103",
    "domainUuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f",
    "time": "1629981695431"
  },
  "deleteList": []
}

在事件中无法自动获取证书颁发机构链，使用以下浏览器特定程序之一获取用于安全连接到 vCenter、 防火墙管理中心。

证书链是根证书和所有从属证书。

您可以选择使用以下程序之一连接到以下设备：

• vCenter 或 NSX

• 防火墙管理中心

• 思科 APIC

获取证书链 - Mac（Chrome 和 Firefox）

使用此程序在 Mac OS 上使用 Chrome 和 Firefox 浏览器来获取证书链。

1. 打开终端窗口。

2. 输入以下命令。

   security verify-cert -P url[:port]

   其中 url 是 vCenter、 防火墙管理中心 的 URL（包括方案）。例如：

   security verify-cert -P https://myvcenter.example.com

   如果使用 NAT 或 PAT 访问 vCenter、 防火墙管理中心，可以按如下方式添加端口：

   security verify-cert -P https://myvcenter.example.com:12345

3. 将整个证书链保存到纯文本文件中。

   • 包括所有 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 分隔符。

   • 排除任何无关的文本（例如，证书的名称和尖括号 (< and >) 中包含的任何文本以及尖括号本身。

4. 对 vCenter 防火墙管理中心 重复这些任务。

获取证书链 - Windows Chrome

使用此程序在 Windows 上使用 Chrome 浏览器来获取证书链。

1. 使用 Chrome 登录 vCenter、 防火墙管理中心。

2. 在浏览器地址栏中点击主机名左侧的锁图标。

3. 点击证书 (Certificate)。

4. 点击认证路径 (Certification Path) 选项卡。

5. 点击证书链中顶部的（即第一个）证书。

6. 点击查看证书 (View Certificates)。

7. 点击详细信息 (Details) 选项卡。

8. 点击复制到文件 (Copy to File)。

9. 按照提示创建包含整个证书链的 CER 格式证书文件。

   当系统提示您选择导出文件格式时，点击 Base 64-Encoded X.509 (.CER)，如下图所示。

   

10. 按照提示完成导出。

11. 在文本编辑器中打开证书。

12. 对证书链中的所有证书重复此过程。

    您必须先按顺序将每个证书粘贴到文本编辑器中。

13. 对 vCenter、 防火墙管理中心 重复这些任务。

获取证书链 - Windows Firefox

使用以下程序为 Windows 或 Mac OS 上的 Firefox 浏览器来获取证书链。

1. 使用 Firefox 登录 vCenter、 防火墙管理中心。

2. 点击主机名左侧的锁图标。

3. 点击右箭头（显示连接详细信息）。下图显示了一个示例。

   

4. 点击更多信息 (More Information)。

5. 点击查看证书 (View Certificates)。

6. 如果生成的对话框包含选项卡页面，请点击与顶层 CA 对应的选项卡页面。

7. 滚动到“其他”(Miscellaneous) 部分。

8. 点击下载行中的 PEM（链）(PEM [chain])。下图显示了一个示例。

   

9. 保存文件。

10. 对 vCenter、 防火墙管理中心 重复这些任务。