Creación de un conector de Policy Enforcer para conmutadores de terceros

Antes de empezar

Tenga disponible la información de su servidor ClearPass, Cisco ISE, ForeScout, Pulse Secure.
Para obtener una copia de evaluación de ForeScout CounterACT para usar con Policy Enforcer, haga clic aquí.
Una vez configurado, seleccione el conector como punto de cumplimiento en su estructura segura.
Revise el tema Información general sobre el conector del Agente de cumplimiento de directivas .
Para crear un conector para una nube pública o privada, consulte Creación de un conector de cumplimiento de políticas para nubes públicas y privadas.

Realice las siguientes acciones para crear conectores para los conmutadores de terceros.

Para configurar la reparación de amenazas para dispositivos de terceros, debe instalar y registrar el complemento de reparación de amenazas con el Agente de cumplimiento de políticas de la siguiente manera:

Seleccione Administración > Agente de cumplimiento de políticas > Conectores.

Aparecerá la página Conectores.
Haga clic en el icono de creación (+).

Aparecerá la página Crear conector.
Complete la configuración con la información de la Tabla 1.
Haga clic en Aceptar.

Nota:
Una vez configurado, seleccione el nombre del conector como punto de cumplimiento en Secure Fabric.

Tabla 1: Campos en la página Crear conector
Campo	Descripción
`General`
Nombre	Introduzca una cadena única que debe comenzar con un carácter alfanumérico y puede incluir guiones bajos; no se permiten espacios; 63 caracteres máximo.
Descripción	Introduzca una descripción; La longitud máxima es de 1024 caracteres. Debe hacer que esta descripción sea lo más útil posible para todos los administradores.
Tipo de conector	Seleccione la red de dispositivos de terceros necesaria para conectarse a su estructura segura y cree políticas para esta red. Los conectores disponibles son Cisco ISE, HP ClearPass, Pulse Secure y ForeScout CounterACT.
Dirección IP/URL	Introduzca la dirección IP (IPv4 o IPv6) del servidor de administración de productos.
Puerto	Seleccione el puerto que desea utilizar en la lista. Cuando se deja en blanco, se utiliza el puerto 443 como predeterminado.
Nombre de usuario	Introduzca el nombre de usuario del servidor para el tipo de conector seleccionado. ClearPass: introduzca el ID de cliente creado durante la configuración del cliente de la API de ClearPass. Consulte Configuración de ClearPass para complementos de terceros para obtener más información. Cisco ISE: escriba el nombre de usuario que utilizó cuando creó el cliente API en la interfaz de usuario de Cisco ISE. Consulte Configuración de Cisco ISE para plug-in de terceros. ForeScout: introduce el nombre de usuario del plugin DEX. Consulte Integración de ForeScout CounterACT con SDSN de Juniper Networks.
Contraseña	Introduzca la contraseña del servidor para el tipo de conector seleccionado. ClearPass: introduzca la cadena Client Secret creada durante la configuración del cliente de la API de ClearPass. Consulte Configuración de ClearPass para complementos de terceros para obtener más información. Advertencia: Cuando expire la duración del token de acceso, debe generar un nuevo secreto de cliente en ClearPass y actualizarlo aquí también. Cisco ISE: introduzca la contraseña que utilizó cuando creó el cliente API en la interfaz de usuario de Cisco ISE. Consulte Configuración de Cisco ISE para plug-in de terceros . ForeScout: introduce la contraseña del plugin DEX. Consulte Integración de ForeScout CounterACT con SDSN de Juniper Networks.
Rol de usuario DEX (Solo para el tipo de conector ForeScout)	Ingrese la información del rol de usuario de intercambio de datos (DEX) para autenticarse y conectarse al conector de ForeScout. Consulte Integración de ForeScout CounterACT con SDSN de Juniper Networks.
`Network Details`
Subredes	Tipo de conector: ClearPass, ForeScout CounterACT, Pulse Secure y Cisco ISE Agregue información de subred a la configuración del conector para poder incluirlas en grupos y, a continuación, aplicar directivas a los grupos. Cuando se utiliza Junos Space, Policy Enforcer puede detectar dinámicamente las subredes configuradas en los conmutadores de Juniper. El Agente de cumplimiento de políticas no tiene la misma información con dispositivos de terceros. Cuando se agregan subredes como parte de la configuración del conector, dichas subredes se pueden seleccionar en Grupos de cumplimiento de directivas. Para agregar información de subred, realice una de las siguientes acciones: Haga clic en Cargar archivo para cargar un archivo de texto con una lista de direcciones IP. Tenga en cuenta que el archivo que cargue debe contener solo un elemento por línea (sin comas ni punto y coma). Todos los elementos se validan antes de añadirse a la lista. O Introduzca manualmente las direcciones IP. Por ejemplo: 192.168.0.1/24. Haga clic en el icono de agregar (+) para agregar más direcciones IP. Nota: Es obligatorio agregar al menos una subred IP a un conector. No puede continuar con el paso siguiente sin agregar una subred.
`Configuration`
Configuración	Proporcione cualquier información adicional necesaria para esta conexión de conector en particular. Una vez finalizada correctamente, la subred que ha creado se asigna a esa instancia de conector en particular. Nota: Para los conectores ClearPass y Cisco ISE no se requiere información de configuración adicional.

Nota:

Puede asociar el conector ClearPass, Cisco ISE, Pulse Secure o Forescout a un sitio solo en su Secure Fabric.
Cuando se agrega un conector al sitio, el Agente de cumplimiento de políticas detecta la serie vSRX asociada al conector y la asigna al sitio. Desplácese sobre el nombre del conector para ver el vSRX correspondiente con su dirección IP como información sobre herramientas.

Advertencia:

Asegúrese de que se proporcionan las credenciales correctas para los servidores de identidad ClearPass, Cisco ISE, Pulse Secure y ForeScout. Si se produce un error en la conexión inicial, solo se muestra un mensaje de error en ese momento. Una vez que ese mensaje desaparece, el estado de conectividad con el servidor de identidades no se muestra en el Agente de cumplimiento de directivas. Tenga en cuenta que los servidores de identidades solo se consultan bajo demanda.

Creación de un conector de Policy Enforcer para conmutadores de terceros

Documentación relacionada