Configuración y solución de problemas de ISE 3.3 pxGrid Direct
Contenido
Introducción
Este documento describe cómo configurar Cisco Identity Service Engine 3.3 pxGrid Direct Connector con API REST externas para obtener datos de terminales.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco ISE 3.3
- API REST
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco ISE 3.3
- Servidor API REST que proporcionó datos JSON para atributos de terminales
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Cisco pxGrid Direct le ayuda a evaluar y autorizar los terminales más rápidamente al permitirle conectarse a API REST externas que proporcionan datos JSON para atributos de terminales y recuperar estos datos en la base de datos de Cisco ISE. Esta función elimina la necesidad de consultar los datos de atributos de terminales cada vez que se debe autorizar un terminal. A continuación, puede utilizar los datos obtenidos en las directivas de autorización.
pxGrid Direct le ayuda a recopilar datos en función de los atributos que especifique en las configuraciones de pxGrid Direct. Se utilizan dos campos obligatorios denominados Identificador único e Identificador de correlación para obtener los datos relevantes. Si un conector no contiene valores para ninguno de estos campos, la obtención y el almacenamiento de datos de un conector pueden ser erróneos.
Configurar conectores de pxGrid Direct
Paso 1. Agregar un nuevo conector directo de pxGrid
Para configurar el conector directo de pxGrid, desde ISE vaya a Administration > Network Resources > pxGrid Direct Connectors. Haga clic en Add (Agregar).
Una vez abierta la página de bienvenida del asistente de pxGrid Direct Connect, haga clic en 
Paso 2. Definir el conector directo de pxGrid
Asigne un nombre al conector y una descripción, si es necesario. Haga clic en Next (Siguiente).
Advertencia: Marque la casilla de verificación Omitir validaciones de certificados para permitir que Cisco ISE acepte cualquier certificado que presente un servidor sin verificar el nombre de host ni otros detalles. Sólo debe activar esta casilla de verificación en un entorno de prueba o si confía en que el servidor conectado sea altamente seguro. Normalmente, omitir las validaciones de certificados podría hacer que su red sea vulnerable a ataques de equipo en medio.
Paso 3. URL
- Escriba la URL de la API REST externa que proporciona datos JSON para el atributo de terminales.
- En Autenticación, introduzca el nombre de usuario y la contraseña del servidor API REST externo.
- Seleccione Probar conexión, espere el mensaje Satisfactorio y haga clic en Siguiente.
Sugerencia: la URL incremental es opcional para la configuración. En caso de que la API REST externa tenga argumentos de solicitud, estos se pueden utilizar para obtener la información más reciente filtrando con el argumento específico en lugar de solicitar todos los datos. Asegúrese de que el argumento Request exista con la documentación del servidor API REST externo.
Paso 4. Programación
Seleccione la programación para una SINCRONIZACIÓN COMPLETA.
- Valor predeterminado: 1 semana
- Valor mínimo: 12 horas
- Valor máximo: 1 mes
Seleccione la programación para INCREMENTAL SYNC. Esta opción solo aparece si se ha configurado en el paso 3.
- Valor predeterminado: 1 día
- Valor mínimo: 1 hora
- Valor máximo: 1 semana
Haga clic en Next (Siguiente).
Paso 5. Objeto principal
Debe escribir la clave JSON para buscar atributos.
Paso 6. Atributos
Seleccione los Atributos del JSON para configurar los Elementos del Diccionario que se pueden utilizar para las políticas.
En este escenario, los atributos incluidos en Dictionary son:
- activo
- ip_address
- mac_address
- os_version
- sys_id
- sys_update
- u_segmentation_group_tag
Haga clic en Next (Siguiente).
Paso 7. Identificadores
- Seleccione los atributos Unique Identifier que son únicos para un extremo de la base de datos CMDB y donde el servidor API REST externo obtiene el JSON.
- Seleccione los atributos Correlation Identifier que son exclusivos de ISE y que pueden hacer coincidir un terminal con una política de autorización.
Haga clic en Next (Siguiente).
Paso 8. Summary
Asegúrese de que el conector de pxGrid Direct esté configurado correctamente. Haga clic en Done (Listo).
Una vez terminado el conector, aparece debajo de la página pxGrid Direct Connectors.
Paso 9. Verificación
Desde ISE, navegue hasta Política > Elementos de política > Diccionario > Diccionarios del sistema. Filtre por el nombre del conector directo de pxGrid. Selecciónelo y haga clic en Ver.
Navegue hasta Atributos de Diccionario y vea la lista de atributos configurados como Elementos de Diccionario en el paso 6.
Panel de Context Visibility pxGrid Direct
Desde ISE, navegue hasta Visibilidad del contexto > Terminales > Más > terminales pxGrid Direct. Aparece una lista de los extremos con los valores seleccionados para Correlación e Identificadores únicos.
Haga clic en el ID de correlación para ver los detalles, o descargue los atributos de un punto final específico.
Configuración de la política de autorización con el diccionario pxGrid Direct
Desde ISE, navegue hasta Política > Conjuntos de políticas > Seleccionar un conjunto de políticas > Política de autorización. Haga clic en el icono del engranaje en cualquiera de las Políticas de autorización y seleccione Insertar.
Dé un nombre a la regla y agregue una nueva condición para abrir Condition Studio.
Haga clic para agregar un nuevo atributo, navegue hasta Sin clasificar y en Diccionario filtre por el nombre del conector directo pxGrid.
Seleccione un atributo que se pueda procesar en una directiva de autorización y establezca el valor. Haga clic en Usar.
Seleccione el perfil como resultado de la condición. Click Save.
Pruebe la nueva regla. Asegúrese de que RADIUS Live Log Details del punto final y el valor de Authorization Policy es el mismo que el de Rule Name con los atributos del conector de pxGrid Direct.
Troubleshoot
Desde ISE, navegue hasta Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Seleccione el nodo de administración principal (PAN) y haga clic en Editar.
Filtre el Nombre del componente por pxGrid Direct y seleccione el Nivel de registro necesario. Click Save.
- En ISE PAN CLI, los registros se encuentran en:
admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log
- En la GUI de ISE, vaya a Operaciones > Solución de problemas > Descargar registros > Seleccionar ISE PAN > Registro de depuración > Tipo de registro de depuración > Registros de aplicación. Descargue los archivos zip para pxgriddirect-service.log y pxgriddirect-connector.log.
Nota:
Los registros de pxgriddirect-service contienen información relacionada con si se han recibido y guardado los datos de los terminales obtenidos en la base de datos de Cisco ISE.
Los registros de pxgriddirect-connector contienen información que indica si un conector dirigido pxGrid se ha agregado correctamente a Cisco ISE.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
29-Sep-2023 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)