Начиная с ISE 2.2, PassiveID - это функция для сбора информации о сопоставлении пользователя с IP-адресом с развертыванием 802.1 X или без него.
PassiveID собирает информацию из среды Microsoft AD с помощью MWMI или агента AD, а также через порт SPAN на коммутаторе. Он также может собирать аутентификационную информацию через syslogs, агент сервера терминалов Citrix и пользовательский API. Конфигурация очень проста и требует всего лишь нескольких щелчков мыши.
Прежде всего, включите службу PassiveID. Перейдите Администрирование → Система → Развертываниеи измените узел сервера политики.

Выберите пункт "Включить Пассивную Службу Идентификации" и нажмите кнопку "Сохранить".

Вы можете проверить состояние PassiveID процессов с помощью команды:

Теперь можно добавить источник провайдера. Перейдите в раздел Рабочие Центры → PassiveID → Провайдеры и нажмите кнопку "Добавить".

Примечание: есть и другие поставщики, такие как агенты, SPAN, syslog и так далее. В этой статье будет использоваться только подключение к Active directory.
Помните: прежде чем добавлять Active directory, вы должны:
- Убедитесь, что вы правильно настроили DNS-сервер, включая настройку обратного поиска для клиентской машины из ISE.
- Синхронизируйте настройки часов для серверов NTP.
Скомпилируйте "Добавить имя точки" и "Active Directory Domain", а затем нажмите на кнопку "Применить".

Появится всплывающее окно. Нажмите кнопку "Да".

Введите учетные данные для AD и нажмите кнопку "ОК".

Примечание: убедитесь, что у вас есть учетные данные администратора домена Active Directory, необходимые для внесения изменений в любую из конфигураций домена AD.
Выберите меню PassiveID справа и нажмите на кнопку "Добавить DCs".

Появится всплывающее окно. Выберите ваш хост DC и нажмите кнопку "ОК".

Выберите только что отмеченный домен и нажмите кнопку "Редактировать".

Появится всплывающее окно. Введите данные (имя пользователя и пароль) в поля Username/Password и нажмите кнопку "Сохранить".

Выберите домен и нажмите на кнопку "Config WMI", чтобы инициировать подключение WMI.

Через несколько секунд всплывающее окно возвращает результат:

Как только регистрация пройдет нормально, ISE начнет отслеживать в AD события входа в систему Windows. Чтобы просмотреть краткую сводку информации о PassiveID, нажмите на ссылку "Dashboard".

Чтобы просмотреть любой сеанс, полученный с помощью PassiveID, нажмите на ссылку "PassiveID", и кликните по ссылке "Live Sessions".

Примечание: если вы настроили RADIUS, вы увидите эти сеансы, а также те, которые были изучены с помощью PassiveID. Сеансы, созданные с помощью PassiveID, будут иметь опцию "Show Actions" (синий) вместо "Show CoA Actions" (красный).
А теперь, что мы можем сделать? PassiveID является вехой для других двух функций Cisco ISE:
- Easyconnect: он обеспечивает аутентификацию на основе портов, аналогичную 802.1 X, но более простую в реализации. Он узнает о проверке подлинности из Active Directory и обеспечивает отслеживание сеансов для активных сетевых сеансов.
- PxGrid: он позволяет совместно использовать контекстно-зависимую информацию из каталога сеансов Cisco ISE с другими сетевыми системами; он также может использоваться для обмена данными политики и конфигурации между узлами, такими как совместное использование тегов и объектов политики между Cisco ISE и сторонними поставщиками, а также для других обменов информацией