Configuration de CSSM sur Prem et enregistrement des licences avec ISE

Options de téléchargement

  • PDF     (5.3 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (5.3 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (3.8 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:25 juillet 2024
ID du document:222207

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit l'intégration de CSSM On-Prem avec Cisco Identity Service Engine (ISE) et Cisco Smart Account, assurant une configuration transparente.

    Conditions préalables

    Exigences

    ISE 3.X

    Cisco Smart Software Manager (CSSM) version 8 version 202304 +

    Composants utilisés

    • Identity Service Engine 3.2, correctif 2
    • SSM sur Prem 8.20234
    • Windows Active Directory 2016 (services DNS et Certificate Authority)
    • VMware ESXi version 7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Diagramme du réseau

    Topologie généraleTopologie générale

    Installez CSSM On-Prem sur VMWARE ESXi.

    1. Téléchargez le logiciel Cisco IOS®. Vous pouvez utiliser le lien suivant : https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Téléchargez l'ISO dans VMWARE ESXi.

    Accédez à Stockage > Navigateur de data store.

    Section Navigateur de donnéesSection Navigateur de données

    3. Cliquez sur Créer un répertoire pour créer un nouveau dossier (facultatif).

    Création du répertoireCréation du répertoire

    Dans cet exemple, le dossier CSSM a été créé :

    Création de dossiersCréation de dossiers

    4. Cliquez sur Upload, puis choisissez votre fichier ISO.

    Téléchargement ISOTéléchargement ISO

    Le fichier ISO se trouve désormais dans le dossier CSSM :

    Le téléchargement ISO est terminéLe téléchargement ISO est terminé

    5. Créez la machine virtuelle. accédez à Machine virtuelle > Créer / Enregistrer la machine virtuelle.

    Création d'une nouvelle VM, étape 01Création d'une nouvelle VM, étape 01

    6. Choisissez Create a new virtual machine et cliquez sur next.

    Création d'une nouvelle VM, étape 02Création d'une nouvelle VM, étape 02

    7. Configurez ensuite les paramètres suivants :

    • Name : saisissez le nom de votre ordinateur virtuel.
    • Compatibilité : sélectionnez ESXi 6.0 ou version ultérieure ou ESXi 6.5 ou version ultérieure. 
    • Famille de systèmes d'exploitation invités : Linux.
    • Version du système d'exploitation invité : choisissez CentOS 7 (64 bits) ou Other 2.6x Linux (64 bits)

    Cliquez sur Next (Suivant).

    Nom de VM et IOSNom de VM et IOS

    8. Sélectionnez votre stockage et cliquez sur next.

    Liste de stockageListe de stockage

    9. Configurez les paramètres suivants :

    • UC : 4 au minimum. Le paramètre de vCPU réel dépend de vos exigences d'évolutivité
    note-icon

    Remarque : la quantité de coeurs par socket doit être définie sur 1, quel que soit le nombre de sockets virtuels sélectionnés. Par exemple, une configuration à 4 processeurs virtuels doit être configurée avec 4 sockets et 1 coeur par socket.

    Configuration des coeursConfiguration des coeurs

    • Mémoire : 8 Go
    • Disque dur : 200 Go et vérifiez que le provisionnement est défini sur Provisionnement léger.

    Configuration du disqueConfiguration du disque

    • Carte réseau : sélectionnez le type de carte E1000 et Connect at Power On (Connexion à la mise sous tension).

    Configuration des paramètres réseauConfiguration des paramètres réseau

    • Lecteur de CD / DVD : Choisissez «Data ISO file» et sélectionnez le fichier ISO.

    image ISOimage ISO

    Vous pouvez vérifier le résumé des paramètres une fois que vous avez terminé les étapes précédentes.

    Récapitulatif de la configuration VM 01Récapitulatif de la configuration VM 01

    Cliquez sur Next (Suivant).

    10. Cliquez sur Terminer.

    Récapitulatif de la configuration VM 02Récapitulatif de la configuration VM 02

    Configuration initiale de CSSM On-Prem .

    1. Dans VMWARE ESXi, accédez à Machines virtuelles et sélectionnez votre machine virtuelle, puis cliquez sur Mise sous tension.

    Option de mise sous tensionOption de mise sous tension

    1. Vous disposez de plusieurs options pour gérer la console de VM. Sélectionnez Console > Ouvrir la console du navigateur.

    Options de gestion de la VMOptions de gestion de la VM

    1. Configurez vos paramètres réseau.
    note-icon

    Remarque : il est important de configurer l'adresse IP du serveur DNS qui résout le nom de domaine complet du CSSM.

    Configuration des paramètres réseau CSSMConfiguration des paramètres réseau CSSM

    Cliquez sur Ok pour configurer votre nouveau mot de passe CLI.

    1. Le processus d'installation démarre et se termine jusqu'à ce que vous voyiez l'invite d'accès.

    Configuration initiale CSSM terminéeConfiguration initiale CSSM terminée

    1. Ouvrez un navigateur et entrez https://<ip_address_CSSM>.

    Page de connexion CSSMPage de connexion CSSM

    Utilisez les informations d'identification par défaut :

    Nom d'utilisateur : admin

    Mot de passe : CiscoAdmin ! 2345

    1. Sélectionnez votre langue.
    2. Créez un nouveau mot de passe GUI.
    3. Configurez le nom commun de l'hôte. (exemple : nomhôte.votredomaine).

    Dans ce cas, cssm.testlab.local a été configuré en tant que nom commun d'hôte.

    Configuration du nom commun de l'hôteConfiguration du nom commun de l'hôte

    1. Validez votre configuration et cliquez sur Apply.

    Paramètres initiaux du CSSM terminésParamètres initiaux du CSSM terminés.

    Intégration de CSSM On-Prem avec un compte Smart

    Vous devez associer votre compte Smart à votre CSSM On Prem Server.

    1. Ouvrez votre compte Cisco Smart en cliquant sur le lien suivant :

    https://software.cisco.com/

    1. Choisissez ensuite Manage Licenses dans la section Smart Software Manager.
    Option Gérer les licencesOption Gérer les licences
    1. Accédez à Inventaire et copiez le nom de votre compte Smart ainsi que celui de votre compte virtuel. Dans ce guide, il s'agit de InternalTestDemoAccount67 et de AAA MEX TEST.

    Page Software CiscoPage Software Cisco

    1. Ouvrez l'interface utilisateur graphique de CSSM et sélectionnez l'option Admin Workspace.

    Menu principal CSSMMenu principal CSSM.

    1. Sélectionnez ensuite Comptes.

    Comptes CSSMComptes.

    1. Sélectionnez Nouveau compte pour créer une nouvelle demande d'inscription.

    Création d'un compte CSSMCréation du compte CSSM.

    1. Entrez les informations suivantes :
    • Nom du compte : il s'agit d'un nom personnalisé du nouveau registre.
    • Cisco Smart Account : collez le nom de votre compte Smart.
    • Compte virtuel Cisco : collez votre nom de compte virtuel.
    • E-mail de notification : saisissez votre e-mail.

    Enregistrement du compteEnregistrement du compte.

    Cliquez sur Submit.

    1. Cliquez ensuite sur Demandes de compte.

    Vous pouvez voir la demande effectuée à l'étape précédente dans cette section.

    Demande de compte.Demande de compte.

    1. Cliquez sur actions.

    Option ActionsActions, option.

    Trois options s'offrent à vous :

    • Approuver : utilisez cette option pour enregistrer le service CSSM On-Prem avec votre compte Smart via Internet.
    • Rejeter : abandonne la demande.
    • Manual Registration (Enregistrement manuel) : utilisez cette option pour enregistrer le service CSSM On-Prem avec votre compte Smart sans Internet.

     OPTION 1 : Enregistrez votre module CSSM On-Prem via une connexion Internet.

    1. Si vous choisissez Approve, vous devez entrer votre nom d'utilisateur et votre mot de passe de votre compte Smart Cisco et cliquer sur Submit.

    Approuver l'optionApprouver l'option

    Cliquez ensuite sur next pour accepter l'enregistrement du compte.

    Enregistrement du compteEnregistrement du compte.

    Pour confirmer le statut de l'inscription, accédez à Compte et le statut du compte doit être actif.

    Statut du compteStatut du compte.

    Ouvrez maintenant votre compte Smart (https://software.cisco.com/). Sélectionnez ensuite l'option On-Prem Accounts pour afficher le nouveau registre.

    Sur le compte Prem.Sur le compte Prem.

    OPTION 2 : Enregistrez votre module CSSM On-Prem sans connexion Internet.

    Si vous choisissez Enregistrement manuel, cliquez sur Générer un fichier d'enregistrement. Cette opération crée une demande d'enregistrement qui va être téléchargée sur votre ordinateur.

    Enregistrement manuel.Enregistrement manuel.

    Ouvrez ensuite votre compte Smart (https://software.cisco.com/) et accédez à Comptes sur site.

    Cliquez sur Nouveau sur site

    Ajout d'un nouveau serveur sur site.Ajout d'un nouveau serveur sur site.

    Configurez ensuite les paramètres suivants :

    • On-Prem Name : il s'agit d'un nom personnalisé du nouveau registre.
    • Registration File : cliquez sur Choose File et sélectionnez la demande d'enregistrement.
    • Virtual Account : collez votre nom de compte virtuel.

    Fichier d'autorisation.Fichier d'autorisation.

    Et cliquez sur Generate Authorization File.

    Téléchargez ensuite le fichier d'autorisation.

    Téléchargement du fichier d'autorisationTéléchargement du fichier d'autorisation.

    Ouvrez l'interface utilisateur graphique de CSSM pour télécharger le fichier d'autorisation. Cliquez sur Browse, choisissez le fichier, puis cliquez sur Upload.

    Téléchargement du fichier d'autorisation.Téléchargement du fichier d'autorisation.

    Accédez ensuite à Synchronization et cliquez sur Actions > Manual Synchronization > Full Synchronization.

    Synchronisation manuelle.Synchronisation manuelle.

    Téléchargez le fichier de demande de synchronisation.

    Téléchargement du fichier SyncTéléchargement du fichier Sync.

    Ouvrez votre compte Smart et sélectionnez Compte On-Prem, puis recherchez votre nom On-Prem CSSM dans la liste et cliquez sur Actions > File Sync

    Téléchargement du fichier SyncTéléchargement du fichier Sync.

    Téléchargez ensuite le fichier de demande de synchronisation, et cliquez sur Generate Response File.

    Génération d'un fichier de réponseGénérez un fichier de réponse.

    Cliquez ensuite sur Télécharger le fichier de réponse de synchronisation

    Synchroniser le fichierFichier de synchronisation.

    Et enfin, téléchargez le fichier de réponse de synchronisation dans le CSSM sur site.

    Synchronisation terminéeSynchronisation terminée.

     Intégration de CSSM On-Prem avec ISE.

    1. Ouvrez l'interface graphique utilisateur de CSSM et sélectionnez Admin Workspace.

    Menu principal CSSM.Menu principal CSSM.

    1. Accédez à Security > Certificates > Generate CSR
    note-icon

    Remarque : il est important que le nom d'hôte + domaine soit configuré sur le nom commun d'hôte car ISE utilise ce paramètre afin d'établir une connexion avec le CSSM. Vous pouvez utiliser une adresse IP au lieu du nom d'hôte + domaine, mais la recommandation est d'utiliser le nom d'hôte + domaine

    note-icon

    Remarque : les étapes suivantes décrivent la procédure d'installation du certificat de l'interface utilisateur graphique dans le CSSM. Si vous souhaitez protéger la connexion de gestion à votre CSSM GUI à l'aide d'un certificat signé par votre autorité de certification personnelle, vous devez vérifier les étapes suivantes. Sinon, vérifiez directement l'étape 9.

    option CSROption CSR.

    1. Saisissez ensuite vos informations personnelles. N'oubliez pas que le nom alternatif de l'objet est créé automatiquement en utilisant la même valeur que le nom commun. Le CSR est téléchargé automatiquement après avoir cliqué sur Générer.

    Détails CSRDétails CSR.

    1. Signez le CSR : pour plus d'informations, consultez la section « Créer des certificats à partir de l'autorité de certification Windows. » de ce document.
    1. Téléchargez le certificat CA racine.

    Téléchargement de la CA racineTéléchargement de l'autorité de certification racine

    Cliquez sur Continuer.

    Option ContinuerOption Continuer.

    1. Entrez une description et choisissez le certificat racine et cliquez sur Ok.

    Description de la racine CADescription de l'autorité de certification racine

    1. Téléchargez le CSR signé par l'AC (certificat d'identité CSSM).

    Téléchargement du certificat d'identité CSSMTéléchargement du certificat d'identité CSSM.

    note-icon

    Remarque : REMARQUE : dans notre cas, le certificat intermédiaire n'existe pas dans notre CA. Toutefois, si vous utilisez un certificat intermédiaire dans votre architecture, le certificat intermédiaire est obligatoire.

    8. Vérifiez ensuite que les deux certificats ont été installés.

    Validation des certificatsValidation des certificats.

    1. Créez un jeton sur le SSM On-Prem : Select licensing Workspace.

    Page WorkspacePage Workspace.

    1. accédez à Licences Smart.

    Page de licence Smart CSSMPage de licence Smart CSSM

    1. Recherchez votre compte virtuel local, puis cliquez sur New Token et cliquez sur Proceed.

    Nouvelle option de jetonNouvelle option de jeton.

    1. Sélectionnez Create Token et copiez-le.

    Création d'un nouveau jetonCréation du nouveau jeton.

    Détails du jetonDétails du jeton.

    1. Ouvrez l'interface utilisateur graphique d'ISE et accédez à Administration > Systems > Licensing, puis cliquez sur Registration details, sélectionnez la méthode hôte du serveur sur site SSM, et collez le jeton.

    Enregistrement des licencesEnregistrement des licences.

    1. Entrez le nom de domaine complet SSM On-Prem FQDN sur l'hôte du serveur SSM On-Prem et cliquez sur Register.

    Paramètres CSSM et ISEParamètres CSSM et ISE.

    note-icon

    Remarque : il est important de configurer le nom d'hôte + le domaine sur le nom commun d'hôte car ISE utilise ce paramètre afin d'établir une connexion avec le CSSM. Vous pouvez utiliser une adresse IP au lieu du nom d'hôte + domaine, cependant la recommandation est d'utiliser le nom d'hôte + domaine

    1. Et enfin, l'enregistrement est terminé.

    Inscription terminéeInscription terminée.

     Créer des certificats à partir de Windows CA.

    Si vous êtes l'administrateur de l'autorité de certification, vous devez procéder comme suit :

    1. Ouvrez un navigateur Web et accédez à http://localhost/certsrv/
    2. Cliquez sur Demander un certificat.

    Demander un certificatDemander un certificat.

    1. Cliquez sur Advanced certificate request (requête de certificat avancée).

    Demande de certificat avancéeDemande de certificat avancée.

    1. Ouvrez la CSR générée précédemment.  Copiez ensuite les informations et collez-les sur la demande enregistrée.

    Envoyer le certificatEnvoyer le certificat.

    Après avoir cliqué sur Submit, le certificat est téléchargé automatiquement.

    1. Téléchargez maintenant la racine du certificat CA. Revenez à http://localhost/certsrv/ et sélectionnez Télécharger un certificat CA, une chaîne de certificats ou une liste de révocation de certificats.

    Télécharger la CA racineTéléchargez l'autorité de certification racine.

    1. Téléchargez le certificat CA en utilisant la méthode de codage Base64.

    Option Base 64Option Base 64.

    Ajoutez des enregistrements DNS sur Windows Server.

    Si vous êtes l'administrateur, ajoutez les noms de domaine complets ISE et CSSM.

    1. Ouvrez le Gestionnaire DNS : Tapez « DNS » dans le chercheur Windows et ouvrez l'application DNS.

    option DNSOption DNS.

    1. Naviguez jusqu'à Forward Lookup Zones > Et choisissez votre domaine.

    gestionnaire DNSGestionnaire DNS.

    1. Cliquez avec le bouton droit de la souris sur un espace noir de l'écran et sélectionnez « Nouvel hôte (A ou AAAA) »

    Ajout d'un enregistrementAjout d'un enregistrement.

    1. Configurez le DNS d'enregistrement comme suit :
    • Name : indique le nom de l'hôte.
    • Adresse IP du périphérique.

    Cliquez sur « Ajouter un hôte »

    Paramètres d'enregistrementEnregistrer les paramètres.

    Dépannage

    L'hôte/l'adresse IP est inaccessible.  (Erreur sur ISE)

    Erreur InaccessibleErreur accessible.

    Solution 1 : vérifiez et corrigez la configuration DNS dans le noeud ISE.

    1. Ouvrez l'interface de ligne de commande ISE et tapez « nslookup <CSSM_FQDN> »

    Dans l'exemple suivant, nous pouvons voir que cssm.testlab.local n'a pas été résolu à partir du noeud ISE.

    Échec de la résolution CSSMÉchec de la résolution CSSM.

    La résolution correcte serait :

    Résolution CSSM réussieRésolution CSSM réussie.

    Plan d'action :

    1. Consultez la rubrique de configuration DNS de ce document.
    2. Entrez la commande show running-config sur l'interface de ligne de commande ISE afin de vérifier le «ip name-server». Le «ip name-server» doit correspondre à l'adresse IP du serveur DNS.

    Solution 2 : ouvrez l'interface utilisateur graphique de CSSM pour confirmer que le nom commun d'hôte et le certificat de navigateur sont identiques au paramètre d'hôte du serveur sur site de CSSM côté ISE.

    Scénario incorrect :

    La résolution CSSM et le paramètre ISE sont incorrectsLa résolution CSSM et le paramètre ISE sont incorrects.

    Scénario correct:

    La résolution CSSM et les paramètres ISE sont correctsLa résolution CSSM et les paramètres ISE sont corrects.

    Plan d'action : voir « Configuration ISE et CSSM » dans ce guide pour plus d'informations.

    Service SSO : impossible d'atteindre Cisco. (Erreur sur CSSM On-Prem)

    Échec de l'enregistrement du compteÉchec de l'enregistrement du compte.

    Solution : vérifiez votre connectivité à Internet.

    Plan d'action :

    1. Si vous avez besoin d'un proxy pour accéder à Internet, accédez à Réseau > Proxy et activez l'option Utiliser un serveur proxy et cliquez sur Appliquer.

    Configuration du proxyConfiguration du proxy.

    Le nom commun dans le CSR n'est pas un nom d'hôte ou une adresse IP pouvant être résolu par DNS, veuillez réessayer. (Erreur sur CSSM On-Prem)

    erreur CSRErreur CSR.

    Solution : vérifiez et corrigez la résolution DNS sur le serveur CSSM.

    1. Ouvrez l'interface de ligne de commande de CSSM et tapez « nslookup <CSSM_FQDN> »

    Dans l'exemple suivant, nous pouvons voir que cssm.testlab.local n'a pas été résolu à partir du serveur CSSM.

    Le serveur DNS est inaccessibleLe serveur DNS n'est pas accessible.

    Le résultat correct serait le suivant :

    Le serveur DNS est accessibleLe serveur DNS est accessible.

    Plan d'action :

    Vérifiez les configurations DNS sur le module CSSM On-Prem.

    1. accédez à Réseau > Général > Paramètres DNS.

    Le DNS principal ou secondaire doit être identique à l'adresse IP du serveur DNS.

    Paramètres DNSParamètres DNS.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    25-Jul-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Oscar de Jesus Tegoma Aguilar

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits