Configurer et dépanner ISE 3.3 pxGrid Direct
Table des matières
Introduction
Ce document décrit comment configurer Cisco Identity Service Engine 3.3 pxGrid Direct Connector avec des API REST externes pour obtenir des données de terminaux.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco ISE 3.3
- API REST
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco ISE 3.3
- Serveur d'API REST qui a fourni des données JSON pour les attributs des terminaux
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Cisco pxGrid Direct vous aide à évaluer et à autoriser les terminaux plus rapidement en vous permettant de vous connecter à des API REST externes qui fournissent des données JSON pour les attributs des terminaux et de récupérer ces données dans la base de données Cisco ISE. Cette fonctionnalité élimine le besoin d'interroger les données d'attribut des terminaux chaque fois qu'un terminal doit être autorisé. Vous pouvez ensuite utiliser les données extraites dans les stratégies d'autorisation.
pxGrid Direct permet de collecter des données en fonction des attributs que vous spécifiez dans vos configurations pxGrid Direct. Deux champs obligatoires appelés Identificateur unique et Identificateur de corrélation sont utilisés pour extraire les données pertinentes. Si un connecteur ne contient pas de valeurs pour l'un de ces champs, l'extraction et la sauvegarde des données d'un connecteur peuvent être erronées.
Configuration des connecteurs directs pxGrid
Étape 1. Ajouter un nouveau connecteur direct pxGrid
Afin de configurer le connecteur direct pxGrid, à partir d'ISE naviguez vers Administration > Network Resources > pxGrid Direct Connectors. Cliquez sur Add.
Une fois la page de bienvenue de l'Assistant Connexion directe pxGrid ouverte, cliquez sur 
Étape 2. Définition du connecteur direct pxGrid
Donnez un nom au connecteur et une description, si nécessaire. Cliquez sur Next (Suivant).
Avertissement : cochez la case Ignorer les validations de certificat pour permettre à Cisco ISE d'accepter tout certificat présenté par un serveur sans vérifier le nom d'hôte ou d'autres détails. Vous ne devez cocher cette case que dans un environnement de test ou si vous êtes sûr que le serveur connecté est hautement sécurisé. En général, l'omission des validations de certificat peut rendre votre réseau vulnérable aux attaques de la machine du milieu.
Étape 3. URL
- Tapez l'URL de l'API REST externe qui fournit les données JSON pour l'attribut des terminaux.
- Sous Authentication, saisissez le nom d'utilisateur et le mot de passe du serveur REST API externe.
- Sélectionnez Test Connection, attendez le message Successful, puis cliquez sur Next.
Conseil : l'URL incrémentielle est facultative pour la configuration. Dans le cas où l'API REST externe a des arguments de requête, ceux-ci peuvent être utilisés pour obtenir les dernières informations en filtrant avec l'argument spécifique au lieu de demander toutes les données. Assurez-vous que l'argument de requête existe avec la documentation du serveur d'API REST externe.
Étape 4. Planifier
Sélectionnez la planification d'une SYNCHRONISATION COMPLÈTE.
- Valeur par défaut - 1 semaine
- Valeur minimale - 12 heures
- Valeur maximale - 1 mois
Sélectionnez la planification de la SYNCHRONISATION INCRÉMENTIELLE. Cette option apparaît uniquement si elle a été configurée à l'étape 3.
- Valeur par défaut - 1 jour
- Valeur minimale - 1 heure
- Valeur maximale - 1 semaine
Cliquez sur Next (Suivant).
Étape 5. Objet parent
Vous devez taper la clé JSON pour rechercher des attributs.
Étape 6. Attributs
Sélectionnez les attributs du JSON pour configurer les éléments de dictionnaire qui peuvent être utilisés pour les stratégies.
Dans ce scénario, les attributs inclus dans Dictionary sont les suivants :
- actif
- adresse_ip
- adresse_mac
- os_version
- id_système
- sys_update
- u_segmentation_group_tag
Cliquez sur Next (Suivant).
Étape 7. Identificateurs
- Sélectionnez les attributs Identificateur unique qui sont uniques à un point de terminaison de la base de données CMDB et où le serveur API REST externe obtient le JSON.
- Sélectionnez les attributs Identificateur de corrélation qui sont uniques à ISE et qui peuvent faire correspondre un point de terminaison à une stratégie d'autorisation.
Cliquez sur Next (Suivant).
Étape 8. Résumé
Assurez-vous que le connecteur direct pxGrid est correctement configuré. Cliquez sur Done.
Une fois le connecteur terminé, il apparaît sous la page pxGrid Direct Connectors.
Étape 9. Vérification
Dans ISE, accédez à Policy > Policy Elements > Dictionary > System Dictionaries. Filtrez par le nom de votre connecteur direct pxGrid. Sélectionnez-le et cliquez sur View.
Accédez à Attributs de dictionnaire et consultez la liste des attributs configurés en tant qu'éléments de dictionnaire sous l'étape 6.
Tableau de bord direct pxGrid Context Visibility
Dans ISE, accédez à Context Visibility > Endpoints > More > pxGrid Direct Endpoints. Une liste des points d'extrémité apparaît avec les valeurs sélectionnées pour Correlation et Unique Identifiers.
Cliquez sur l'ID de corrélation pour afficher les détails ou Téléchargez les attributs d'un point de terminaison spécifique.
Configuration de la stratégie d'autorisation avec le dictionnaire pxGrid Direct
Dans ISE, accédez à Policy > Policy Sets > Select a Policy Set > Authorization Policy. Cliquez sur l'icône d'engrenage dans l'une des stratégies d'autorisation et sélectionnez Insérer.
Attribuez un nom à la règle et ajoutez une nouvelle condition pour ouvrir le Studio de condition.
Cliquez pour ajouter un nouvel attribut, naviguez jusqu'à Non classifié, et sous Dictionary filter par le nom du connecteur direct pxGrid.
Sélectionnez un attribut qui peut être traité sous une stratégie d'autorisation et définissez la valeur. Cliquez sur Utiliser.
Sélectionnez le profil comme résultat de la condition. Cliquez sur Save.
Testez la nouvelle règle. Assurez-vous que les détails du journal RADIUS Live du point de terminaison et la valeur de la stratégie d'autorisation sont identiques au nom de la règle avec les attributs du connecteur direct pxGrid.
Dépannage
Dans ISE, accédez à Operation > Troubleshoot > Debug Wizard > Debug Log Configuration. Sélectionnez votre noeud d'administration principal (PAN) et cliquez sur Edit.
Filtrez le nom du composant par pxGrid Direct et sélectionnez le niveau de journalisation requis. Cliquez sur Save.
- Sur l'interface de ligne de commande ISE PAN, les journaux se trouvent à l'adresse :
admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log
- Sur l'interface utilisateur graphique d'ISE, accédez à Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs. Téléchargez les fichiers zip de pxgriddirect-service.log et pxgriddirect-connector.log.
Remarque :
Les journaux de pxgriddirect-service contiennent des informations sur la réception et l'enregistrement des données de point d'extrémité récupérées dans la base de données Cisco ISE.
Les journaux de pxgriddirect-connector contiennent des informations qui indiquent si un connecteur pxGrid Directed a bien été ajouté à Cisco ISE.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
29-Sep-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)