Начиная с ISE 2.2, PassiveID - это функция для сбора информации о сопоставлении пользователя с IP-адресом с развертыванием 802.1 X или без него.
PassiveID собирает информацию из среды Microsoft AD с помощью MWMI или агента AD, а также через порт SPAN на коммутаторе. Он также может собирать аутентификационную информацию через syslogs, агент сервера терминалов Citrix и пользовательский API. Конфигурация очень проста и требует всего лишь нескольких щелчков мыши.
Прежде всего, включите службу PassiveID. Перейдите Администрирование → Система → Развертываниеи измените узел сервера политики.
Выберите пункт "Включить Пассивную Службу Идентификации" и нажмите кнопку "Сохранить".
Вы можете проверить состояние PassiveID процессов с помощью команды:
Теперь можно добавить источник провайдера. Перейдите в раздел Рабочие Центры → PassiveID → Провайдеры и нажмите кнопку "Добавить".
Примечание: есть и другие поставщики, такие как агенты, SPAN, syslog и так далее; в этой статье будет использоваться только подключение к Active directory.
Помните: прежде чем добавлять Active directory, вы должны:
- Убедитесь, что вы правильно настроили DNS-сервер, включая настройку обратного поиска для клиентской машины из ISE.
- Синхронизируйте настройки часов для серверов NTP.
Скомпилируйте "Добавить имя точки" и "Active Directory Domain", а затем нажмите на кнопку "Применить".
Появится всплывающее окно. Нажмите кнопку "Да".
Введите учетные данные для AD и нажмите кнопку "ОК".
Примечание: убедитесь, что у вас есть учетные данные администратора домена Active Directory, необходимые для внесения изменений в любую из конфигураций домена AD.
Выберите меню PassiveID справа и нажмите на кнопку "Добавить DCs".
Появится всплывающее окно. Выберите ваш хост DC и нажмите кнопку "ОК".
Выберите только что отмеченный домен и нажмите кнопку "Редактировать".
Появится всплывающее окно. Введите данные (имя пользователя и пароль) в поля Username/Password и нажмите кнопку "Сохранить".
Выберите домен и нажмите на кнопку "Config WMI", чтобы инициировать подключение WMI.
Через несколько секунд всплывающее окно возвращает результат:
Как только регистрация пройдет нормально, ISE начнет отслеживать в AD события входа в систему Windows. Чтобы просмотреть краткую сводку информации о PassiveID, нажмите на ссылку "Dashboard".
Чтобы просмотреть любой сеанс, полученный с помощью PassiveID, нажмите на ссылку "PassiveID", и кликните по ссылке "Live Sessions".
Примечание: если вы настроили RADIUS, вы увидите эти сеансы, а также те, которые были изучены с помощью PassiveID. Сеансы, созданные с помощью PassiveID, будут иметь опцию "Show Actions" (синий) вместо "Show Cao Actions" (красный).
А теперь, что мы можем сделать? PassiveID является вехой для других двух функций Cisco ISE:
- Easyconnect: он обеспечивает аутентификацию на основе портов, аналогичную 802.1 X, но более простую в реализации. Он узнает о проверке подлинности из Active Directory и обеспечивает отслеживание сеансов для активных сетевых сеансов.
- PxGrid: он позволяет совместно использовать контекстно-зависимую информацию из каталога сеансов Cisco ISE с другими сетевыми системами; он также может использоваться для обмена данными политики и конфигурации между узлами, такими как совместное использование тегов и объектов политики между Cisco ISE и сторонними поставщиками, а также для других обменов информацие