Konfigurieren der ISE-Lizenzierung mithilfe der offenen API

Einleitung

In diesem Dokument wird die Konfiguration der Cisco Identity Service Engine 3.3-Lizenzierung über eine offene API beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco ISE 3.3
• REST-API
• Smart Software-Lizenzierung

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ISE 3.3
• Insomnia REST API-Client.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Mit der Cisco ISE-Lizenzierung können die Anwendungsfunktionen und der Zugriff verwaltet werden, z. B. die Anzahl der gleichzeitig aktiven Endgeräte, die die Cisco ISE-Netzwerkressourcen jederzeit nutzen können. Die Lizenzierung in der Cisco ISE erfolgt in Form von funktionsbasierten Paketen, in denen für jeden Lizenztyp unterschiedliche Funktionen unterstützt werden.

Die Cisco ISE ist eine abonnementbasierte Lösung. Cisco ISE-Abonnementlizenzen sind geschachtelt, d. h., die Lizenzen der höheren Ebene umfassen alle Funktionen der niedrigeren Ebene. Die ISE Premier-Lizenz umfasst beispielsweise alle Funktionen, die den ISE Advantage- und ISE Essentials-Lizenzen zugeordnet sind. Ebenso umfasst die ISE Advantage-Lizenz alle Funktionen, die der ISE Essentials-Lizenz zugeordnet sind. Mit diesem Modell können Sie direkt Premier- oder Advantage-Lizenzen erwerben, ohne eine Essentials-Lizenz benötigen zu müssen.

Erste Schritte

Offene API auf ISE aktivieren

Die offene API ist auf der ISE standardmäßig deaktiviert. Um sie zu aktivieren, navigieren Sie zu Administration > System > API Settings > API Service Settings. Schalten Sie die Open API-Optionen um. Klicken Sie auf Speichern.

API-Einstellungen öffnen

Swagger-Benutzeroberfläche

Um auf alle Open API-Definitionen auf der ISE zuzugreifen, navigieren Sie zu Administration > System > Settings > API Settings. Klicken Sie auf den Link Weitere Informationen zur offenen ISE-API finden Sie unter:

Die URLs für die in diesem Dokument verwendete Definition sind: https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=License 

Lizenzierung mit Open API konfigurieren

GET-Lizenz Tier-Staat

Um die Lizenz zu konfigurieren, muss das Compliance-Attribut unter Verwendung des Tier-Zustands bekannt sein, da keine Lizenz konfiguriert wurde. Das Compliance-Attribut kann auf "Evaluation" (Evaluierung) gesetzt werden.

Authentifizierung

Authentifizierung des Tier-Zustands

Header

Kopfzeilen für Statusebene

Erwartete Ausgabe

Erwartete Ausgabe des Tier-Status

Verbleibende GET-Tage für Testlizenz

Verwenden Sie diesen API-Aufruf, um die verbleibenden Tage für die Testlizenz zu erfahren.

Authentifizierung

Authentifizierung von Testlizenzen

Header

Evaluierungslizenz-Header

Erwartete Ausgabe

Erwartete Ausgabe der Testlizenz

Lizenz registrieren

Hinweis: Die Erstellung eines Smart Licensing-Tokens ist nicht Bestandteil des vorliegenden Dokuments.

Um die Lizenz zu registrieren, müssen Sie den connectionType, den registrationType und die Ebene eingeben.

Verbindungstypen:

• HTTP_DIRECT
• PROXY
• SSM_ONPREM_SERVER Wenn dieses Attribut ausgewählt ist, müssen Sie den Schlüssel ssmOnPremServer und den Wert angeben.
  
• TRANSPORT_GATEWAY

Registrierungsarten:

• ABMELDEN
• REGISTRIEREN
• VERLÄNGERN
• UPDATE

Stufe:

• VORTEIL
• DEVICEADMIN
• GRUNDLEGEND
• PREMIER
• VM

{
"connectionType": "PROXY",
"registrationType": "REGISTER",
"ssmOnPremServer": "CSSM28.demo.local",
"tier": [
"ADVANTAGE", "DEVICEADMIN", "ESSENTIAL", "PREMIER", "VM"
],
"token": "NzFjNjQyYWYtMjkyYS00OGJiLTkzNzYtNWY5Nzg5OTU4ZjhkLTE2MzE2MTM1%0AMTg4ODl8QU0wdWUzRmZXRnhBQzBWZldmTmZaTjFwdzdaZ0diVXpmU0hjTUVz%0AS0NYZz0%3D%0A"
}

Nachrichtentext

POST: Registrieren des Lizenzkörpers

Authentifizierung

POST: Registrieren der Lizenzauthentifizierung

Header

POST - Lizenzkopfzeilen registrieren

Erwartete Ausgabe

POST - Registrieren der erwarteten Lizenzausgabe

Überprüfung

Lizenzregistrierung abrufen

Um zu erfahren, welche Schlüssel-Wert-Paare zum Konfigurieren der Registrierung verwendet werden, verwenden Sie diesen API-Aufruf.

Authentifizierung

GET - Registrieren der Lizenzauthentifizierung

Header

GET - Lizenzkopfzeilen registrieren

Erwartete Ausgabe

GET - Registrieren der erwarteten Lizenzausgabe

GET Smart-Lizenzinformationen

Verwenden Sie diesen API-Aufruf, um den Status der Verbindung mit Smart Licensing zu erfahren.

Authentifizierung

Authentifizierung von Smart Licensing-Informationen

Header

Kopfzeilen für Smart Licensing-Informationen

Erwartete Ausgabe

Erwartete Ausgabe von Smart Licensing-Informationen

Verifizierung der ISE GUI-Lizenz

Um die korrekte Installation auf der GUI zu überprüfen. Navigieren Sie zu Administration > System > Licensing > Licenses.

Verifizierung der grafischen Benutzeroberfläche von Smart Licensing

Hinweis: Freigegebene Berechtigung bedeutet, dass die Lizenzen gekauft und zur Verwendung freigegeben wurden, aber noch keine Lizenz für diese Cisco ISE-Bereitstellung genutzt wurde. In einem solchen Szenario ist die Anzahl der genutzten Lizenzen 0. Die Lizenzen können in Compliance geändert werden, sobald die Anzahl der genutzten Geräte von 0 geändert wurde.

Fehlerbehebung

Lizenzierung

Navigieren Sie von der ISE zu Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Wählen Sie Ihren primären Admin-Knoten (PAN) aus, und klicken Sie auf Edit.

Filtern Sie den Komponentennamen nach Lizenz und die Admin-Lizenz, und wählen Sie die erforderliche Protokollstufe aus. Klicken Sie auf Speichern.

Lizenzierung der Debuglevel-Konfiguration

• Auf der ISE PAN CLI finden Sie die Protokolle unter:

admin#show logging application ise-psc.log

• Navigieren Sie auf der ISE-GUI zu Vorgänge > Fehlerbehebung > Protokolle herunterladen > ISE PAN auswählen > Debug-Protokoll > Debug-Protokolltyp > Anwendungsprotokolle. Laden Sie die ZIP-Dateien für ise-psc.log herunter.
  

Offene API

Navigieren Sie von der ISE zu Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Wählen Sie Ihren primären Admin-Knoten (PAN) aus, und klicken Sie auf Edit.

Filtern Sie den Komponentennamen nach apiservice, und wählen Sie die erforderliche Protokollstufe aus. Klicken Sie auf Speichern.

Offene API für Konfiguration der Debugging-Ebene

• Auf der ISE PAN CLI finden Sie die Protokolle unter:

admin#show logging application api-service.log

• Navigieren Sie auf der ISE-GUI zu Vorgänge > Fehlerbehebung > Protokolle herunterladen > ISE PAN auswählen > Debug-Protokoll > Debug-Protokolltyp > Anwendungsprotokolle. Laden Sie die ZIP-Dateien für api-service.log herunter.
• API-Antwortcodes und ihre möglichen Bedeutungen:
  •    200 (OK): Zeigt an, dass die Open API die gewünschte Aktion erfolgreich durchgeführt hat.
  •    201 (Erstellt): gibt an, dass die Ressource erstellt wurde und die Anforderung erfolgreich war.
  •    400 (Bad Request): Der Server kann die Anfrage nicht verarbeiten. Erkennen von Client-Fehlern aufgrund einer fehlerhaften Anforderungssyntax, ungültigen Parametern usw. Lesen Sie die Nachrichtendetails, falls verfügbar.
  •    401 (Nicht autorisiert): Zeigt an, dass die Aktion mit falschen Anmeldeinformationen durchgeführt wurde, dass keine Anmeldeinformationen vorliegen oder dass das Konto nicht autorisiert ist, diese Aktion auszuführen.
  •    403 (Forbidden): Zeigt an, dass der Server die Anforderung verstehen kann, aber nicht autorisiert ist.
  •    404 (Not Found): Zeigt an, dass der Server die angeforderte Ressource nicht finden kann.
  •    500 (Internal Server Error) (500 (Interner Serverfehler)): Zeigt ein serverseitiges Problem an. Protokolle auf der ISE können helfen, die Ursache zu verstehen.

Zugehörige Informationen

• Technischer Support und Downloads von Cisco