Introduction
Ce document décrit comment configurer un référentiel sur Identity Services Engine (ISE).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissances de base d'Identity Services Engine (ISE)
- Connaissances de base du serveur FTP (File Transfer Protocol) et du serveur SSH SFTP (File Transfer Protocol)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco Identity Service Engine version 2.x
- Un serveur FTP fonctionnel et un serveur SFTP
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Cisco vous permet de créer et de supprimer des référentiels via le portail Admin. Vous pouvez créer les types de référentiels suivants :
- DISQUE
- FTP
- SFTP
- NFS
- CD-ROM
- HTTP
- HTTPS
Remarque : il est recommandé d'avoir une taille de référentiel de 10 Go pour les petits déploiements (100 terminaux ou moins), de 100 Go pour les déploiements moyens et de 200 Go pour les déploiements de grande envergure.
Les référentiels ISE peuvent être configurés à partir de l'interface utilisateur graphique et de l'interface de ligne de commande de l'ISE et peuvent être utilisés à ces fins :
- Sauvegarde et restauration de la configuration ISE et des données opérationnelles
- Mise à niveau des noeuds ISE
- Installation des correctifs
- Exportation de données (rapports) à partir de l'ISE
- Exportation du bundle de support à partir du noeud ISE
Remarque : les référentiels configurés à partir de l'interface de ligne de commande du noeud ISE sont locaux à chaque noeud et sont supprimés lors du rechargement du noeud. Les référentiels configurés à partir de l'interface utilisateur graphique de l'ISE sont répliqués sur tous les noeuds du déploiement et ne sont pas supprimés lors du rechargement du noeud.
Configuration
Configurer le référentiel FTP
Configurer le référentiel FTP à partir de l'interface utilisateur graphique
Étape 1. Afin de configurer un référentiel sur l'ISE, connectez-vous à l'interface utilisateur graphique d'ISE et accédez à Administration > System > Maintenance > Repository
. Cliquez ensuite sur Add
, comme l'illustre l'image.
![Click Add to add an item to the Repository list](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-00.png)
Étape 2. Fournir Repository Name
et choisissez FTP
en tant que protocole. Saisissez ensuite Server Name, Path, User Name
,et Password
, puis cliquez sur Submit
, comme l'illustre l'image.
![Enter configuration parameters for an FTP repository and click Submit](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-01.png)
Configurer le référentiel FTP à partir de l'interface CLI
Connectez-vous au CLI du nœud ISE avec SSH et exécutez ces commandes .
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository FTP-Repo
ise/admin(config-Repository)# url ftp://10.106.37.174/
ise/adminconfig-Repository)# user <Username> password plain <Password>
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
Configurer le référentiel SFTP
Configurer le référentiel SFTP à partir de l'interface utilisateur graphique
Étape 1. Afin de configurer un référentiel sur l'ISE, connectez-vous à l'interface utilisateur graphique d'ISE et accédez à Administration > System > Maintenance > Repository
. Cliquez ensuite sur Add
, comme l'illustre l'image.
![Click Add to add an item to the Repository list](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-02.png)
Étape 2. Fournir Repository Name
et choisissez SFTP
en tant que protocole. Saisissez ensuite Server Name, Path, User Name
,et Password
, puis cliquez sur Submit
, comme l'illustre l'image.
![Enter configuration parameters for an SFTP repository and click Submit](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-03.png)
Étape 3. Après que vouscoup de langue Submit
,a s'affiche. Le message vous invite à utiliser l'interface de ligne de commande pour ajouter la clé hôte du serveur SFTP, comme illustré dans l'image.
![A message prompts you to use CLI to add the host key of the SFTP server](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-04.png)
Étape 4. Connectez-vous à l'interface de ligne de commande du noeud ISE via SSH et utilisez la commande crypto host_key add host <ip address of the server>
pour ajouter la clé d'hôte.
ise/admin# crypto host_key add host 10.106.37.34
host key fingerprint added
Operating in CiscoSSL FIPS mode
# Host 10.106.37.34 found: line 1
10.106.37.34 RSA SHA256:exFnNITDhafaNPFr35x6kC1pR0iTP6xS+LBmtIXPfnk
ise/admin#
Configuration du référentiel SFTP à partir de l'interface CLI
Connectez-vous au CLI du nœud ISE avec SSH et exécutez ces commandes :
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository SFTP-Repo
ise/admin(config-Repository)# url sftp://10.106.37.34/
ise/adminconfig-Repository)# user <Username> password plain <Password>
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
Configurer le référentiel NFS
Configurer le référentiel NFS à partir de l'interface utilisateur graphique
Étape 1. Afin de configurer un référentiel sur l'ISE, connectez-vous à l'interface utilisateur graphique d'ISE et accédez à Administration > System > Maintenance > Repository
. Cliquez ensuite sur Ajouter, comme illustré dans l'image.
![Click Add to add an item to the Repository list](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-05.png)
Étape 2. Fournir Repository Name
et choisissez NFS
en tant que protocole. Saisissez ensuite Server Name
et Path
, puis cliquez sur Submit
, comme l'illustre l'image.
![Enter configuration parameters for an NFS repository and click Submit](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-06.png)
Configuration du référentiel NFS à partir de l'interface CLI
Connectez-vous au CLI du nœud ISE avec SSH et exécutez ces commandes :
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository NFS-Repo
ise/admin(config-Repository)# url nfs://10.106.37.200:/nfs-repo
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
Configurer le référentiel local ISE
Configurer le référentiel local à partir de l'interface utilisateur graphique
Étape 1. Afin de configurer un référentiel sur l'ISE, connectez-vous à l'interface utilisateur graphique d'ISE et accédez à Administration > System > Maintenance > Repository
. Cliquez ensuite sur Add
, comme l'illustre l'image.
![Click Add to add an item to the Repository list](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-07.png)
Étape 2. Fournir Repository Name
et choisissez DISK
en tant que protocole. Saisissez ensuite la commande Path
et cliquez sur Submit
, comme l'illustre l'image.
![Enter configuration parameters for a local repository and click Submit](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-08.png)
Configurer le référentiel local à partir de l'interface CLI
Connectez-vous au CLI du nœud ISE avec SSH et exécutez ces commandes :
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository Local-Repo
ise/admin(config-Repository)# url disk:/
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
Remarque : le référentiel local stocke les données localement sur le disque ISE.
Vérifier
Le référentiel peut être vérifié à partir de l'interface utilisateur graphique et de l'interface de ligne de commande du serveur ISE.
Vérifier avec l'interface graphique
Afin d'utiliser l'interface utilisateur graphique pour valider le référentiel, accédez à Administration > System > Maintenance > Repository
, sélectionnez le référentiel, puis cliquez sur Validate
, comme l'illustre l'image.
![Select the repository to verify and click Validate](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-09.png)
Après avoir cliqué sur Validate
, vous devez obtenir le Repository validated successfully
réponse sur l’interface utilisateur graphique, comme illustré dans l’image.
![Repository validated successfully message](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-10.png)
Vérifier avec CLI
Afin de valider le référentiel à partir de l'interface de ligne de commande, connectez-vous au noeud ISE via SSH et exécutez la commande show repository <name of the repository>
. La sortie de la commande répertorie les fichiers présents dans le référentiel.
ise/admin#
ise/admin# show repository FTP-Repo
Config-Backup-CFG10-200307-1043.tar.gpg
ise/admin#
Dépannage
Afin de déboguer le référentiel sur ISE, utilisez ces débogages :
ise-1/pan# debug copy 7
ise-1/pan# debug transfer 7
ise-1/pan#
ise-1/pan# 6 [25683]:[info] transfer: cars_xfer.c[220] [system]: ftp dir of repository FTP-Repo requested
7 [25683]:[debug] transfer: cars_xfer_util.c[2017] [system]: ftp get dir for repos FTP-Repo
7 [25683]:[debug] transfer: cars_xfer_util.c[2029] [system]: initializing curl
7 [25683]:[debug] transfer: cars_xfer_util.c[2040] [system]: full url is ftp://10.106.37.174/ISE/
7 [25683]:[debug] transfer: cars_xfer_util.c[1928] [system]: initializing curl
7 [25683]:[debug] transfer: cars_xfer_util.c[1941] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200307-1043.tar.gpg
7 [25683]:[debug] transfer: cars_xfer_util.c[1962] [system]: res: 0
7 [25683]:[debug] transfer: cars_xfer_util.c[1966] [system]: res: 0-----filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020
7 [25683]:[debug] transfer: cars_xfer_util.c[1972] [system]: filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020
7 [25683]:[debug] transfer: cars_xfer_util.c[1976] [system]: filesize Config-Backup-CFG10-200307-1043.tar.gpg: 181943580 bytes
6 [25683]:[info] transfer: cars_xfer.c[130] [system]: ftp copy out of /opt/backup/backup-Config-Backup-1587433372/Config-Backup-CFG10-200421-0712.tar.gpg requested
6 [25683]:[info] transfer: cars_xfer_util.c[787] [system]: curl version: libcurl/7.29.0 OpenSSL/1.0.2s zlib/1.2.7 libidn/1.28 libssh2/1.4.2
7 [25683]:[debug] transfer: cars_xfer_util.c[799] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200421-0712.tar.gpg
Les débogages sont désactivés comme indiqué ici :
ise-1/pan#
ise-1/pan# no debug copy 7
ise-1/pan# no debug transfer 7
ise-1/pan#
Pour vous assurer que la communication entre l'ISE et le serveur de référentiel configuré est correcte, configurez une capture de paquets à partir de l'interface utilisateur graphique d'ISE :
- Accédez à Operations > Troubleshoot > Diagnostic tools > TCP Dump.
- Entrez la valeur appropriée dans Filtre et sélectionnez Format.
- Cliquez sur Démarrer.
![Enter parameters for TCP Dump](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-11.png)
Afin de déclencher un certain trafic vers le référentiel qui doit être testé, accédez à Administration > System > Maintenance > Repository
, sélectionnez le référentiel, puis cliquez sur Validate
. Accédez ensuite à Operations > Troubleshoot > Diagnostic tools > TCP Dump
, cliquez sur Stop
et téléchargez la capture de paquets comme indiqué dans l'image.
![Download the TCP Dump file](/c/dam/en/us/support/docs/security/identity-services-engine-software/215348-how-to-configure-repository-on-identity-12.png)