Configurazione di CSSM su prem e registrazione delle licenze con ISE

Opzioni per il download

  • PDF     (5.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:25 luglio 2024
ID documento:222207

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive l'integrazione di CSM On-Prem con Cisco Identity Service Engine (ISE) e Cisco Smart Account, garantendo una configurazione ottimale.

    Prerequisiti

    Requisiti

    ISE 3.X

    Cisco Smart Software Manager (CSM) versione 8 release 202304 +

    Componenti usati

    • Patch 2 di Identity Service Engine 3.2
    • SSM On Prem 8.20234
    • Windows Active Directory 2016 (servizi DNS e Autorità di certificazione)
    • VMWare ESXi versione 7

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Topologia generaleTopologia generale

    Installare CSM on-Prem su VMWARE ESXi.

    1. Scaricare Cisco IOS®. È possibile utilizzare il collegamento successivo: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Caricare l'ISO in VMWARE ESXi.

    Passare a Memoria > Browser archivio dati.

    Sezione Data browserSezione Data browser

    3. Fare clic su Crea directory per creare una nuova cartella (facoltativo).

    Creazione della directoryCreazione della directory

    Nell'esempio seguente è stata creata la cartella CSSM:

    Creazione di cartelleCreazione di cartelle

    4. Fare clic su Upload, quindi scegliere il file ISO.

    Caricamento ISOCaricamento ISO

    Il file ISO si trova nella cartella CSSM:

    Caricamento ISO completatoCaricamento ISO completato

    5. Creare la macchina virtuale. passare a Macchina virtuale > Crea/registra macchina virtuale.

    Creazione di una nuova VM fase 01Creazione di una nuova VM fase 01

    6. Scegliere Crea una nuova macchina virtuale e fare clic su Avanti.

    Creazione di una nuova VM fase 02Creazione di una nuova VM fase 02

    7. Quindi configurare i parametri successivi:

    • Nome: immettere il nome della macchina virtuale.
    • Compatibilità: selezionare ESXi 6.0 o versione successiva oppure ESXi 6.5 o versione successiva. 
    • Famiglia di sistemi operativi guest: Linux.
    • Versione sistema operativo guest: scegliere CentOS 7 (64 bit) o Altro Linux 2.6x (64 bit)

    Fare clic su Next (Avanti).

    Nome VM e IOSNome VM e IOS

    8. Selezionare la memoria e fare clic su avanti.

    Elenco di archiviazioneElenco di archiviazione

    9. Configurare i parametri successivi:

    • CPU: almeno 4. L'impostazione effettiva di vCPU dipende dai requisiti di scalabilità
    note-icon

    Nota: la quantità di core per socket deve essere impostata su 1 indipendentemente dal numero di socket virtuali selezionati. Ad esempio, una configurazione a 4 vCPU deve essere configurata come 4 socket e 1 core per socket.

    Configurazione dei coreConfigurazione dei core

    • Memoria: 8 GB
    • Disco rigido: 200 GB e la funzione di provisioning di verifica è impostata su Thin Provision.

    Configurazione del discoConfigurazione del disco

    • Scheda di rete: selezionare il tipo di scheda E1000 e selezionare Connetti all'accensione.

    Configurazione delle impostazioni di reteConfigurazione delle impostazioni di rete

    • Unità CD/DVD: scegliere "File ISO dei dati" e selezionare il file ISO.

    immagine ISOimmagine ISO

    È possibile verificare il riepilogo delle impostazioni dopo aver completato i passaggi precedenti.

    Riepilogo configurazione VM 01Riepilogo configurazione VM 01

    Fare clic su Next (Avanti).

    10. Fare clic su Fine.

    Riepilogo configurazione VM 02Riepilogo configurazione VM 02

    Configurazione iniziale di CSSM locale.

    1. In VMWARE ESXi, passare a Virtual Machines (Macchine virtuali) e selezionare la macchina virtuale, quindi fare clic su Power On (Accendi).

    Opzione di accensioneOpzione di accensione

    1. Sono disponibili diverse opzioni per gestire la console VM. Selezionare Console > Apri console browser.

    Opzioni per la gestione della VMOpzioni per la gestione della VM

    1. Configurare le impostazioni di rete.
    note-icon

    Nota: è importante configurare l'indirizzo IP del server DNS che risolve l'FQDN del modulo CSM.

    Configurazione delle impostazioni di rete CSMConfigurazione delle impostazioni di rete CSM

    Fare clic su Ok per configurare la nuova password CLI.

    1. Il processo di installazione viene quindi avviato e completato fino a quando non viene visualizzato il prompt di accesso.

    Configurazione iniziale CSM completataConfigurazione iniziale CSM completata

    1. Aprire un browser e immettere https://<ip_address_CSSM>.

    Pagina di accesso a CSMPagina di accesso a CSM

    Usa le credenziali predefinite:

    Nome utente: admin

    Password: CiscoAdmin!2345

    1. Seleziona la lingua.
    2. Creare una nuova password GUI.
    3. Configurare il nome comune dell'host. (esempio: nomehost.dominio).

    In questo caso, cssm.testlab.local è stato configurato come Host Common Name.

    Configurazione nome comune hostConfigurazione nome comune host

    1. Convalidare la configurazione e fare clic su Applica.

    Impostazioni iniziali CSSM completateImpostazioni iniziali CSM completate.

    Integrazione di CSM on-prem con Smart Account

    È necessario associare lo Smart Account al CSM sul server principale.

    1. Aprire lo Smart Account Cisco utilizzando il collegamento successivo:

    https://software.cisco.com/

    1. Quindi, scegliere Gestisci licenze nella sezione Smart Software Manager.
    Opzione Gestisci licenzeOpzione Gestisci licenze
    1. Passare a Inventario e copiare il nome dello Smart Account e dell'account virtuale. In questa guida, si tratta di InternalTestDemoAccount67 e AAA MEX TEST.

    Pagina Software CiscoPagina Software Cisco

    1. Aprire l'interfaccia utente di CSM e selezionare l'opzione Admin Workspace.

    Menu principale CSSMMenu principale CSSM.

    1. Quindi selezionare Conti.

    Conti CSSMAccount.

    1. Selezionare Nuovo account per creare una nuova richiesta di registrazione.

    Creazione dell'account CSSMCreazione dell'account CSSM.

    1. Immettere le informazioni successive:
    • Nome account: si tratta del nome personalizzato del nuovo registro.
    • Cisco Smart Account: incolla il nome dello Smart Account.
    • Account virtuale Cisco: incolla il nome del tuo account virtuale.
    • Email per la notifica: digita l'email.

    Registrazione accountRegistrazione account.

    Fare clic su Invia.

    1. Quindi clicca su Richieste di account.

    In questa sezione è possibile visualizzare la richiesta eseguita nel passaggio precedente.

    Richiesta account.Richiesta account.

    1. Fare clic su azioni.

    Opzioni AzioniOpzione Azioni.

    Sono disponibili tre opzioni:

    • Approva: utilizzare questa opzione per registrare il modulo CSM locale con lo Smart Account tramite Internet.
    • Rifiuta: elimina la richiesta.
    • Registrazione manuale: utilizzare questa opzione per registrare il modulo CSM on-Prem con lo Smart Account senza Internet.

     OPZIONE 1: registrare il CSM on-prem tramite una connessione Internet.

    1. Se si sceglie Approva, è necessario immettere il nome utente e la password dello Smart Account Cisco e fare clic su Invia.

    Opzione ApprovaApprova.

    Quindi fai clic su avanti per accettare la registrazione dell'account.

    Registrazione accountRegistrazione account.

    Per confermare lo stato della registrazione, passare a Account e lo stato dell'account deve essere attivo.

    Stato accountStato account.

    Aprire lo Smart Account (https://software.cisco.com/). Selezionare quindi l'opzione Conti locali per visualizzare il nuovo registro.

    In Conto Prem.In Conto Prem.

    OPZIONE 2: registrare il CSM on-prem senza una connessione Internet.

    Se si sceglie Registrazione manuale, fare clic su Genera file di registrazione. In questo modo viene creata una richiesta di registrazione che verrà scaricata nel computer.

    Registrazione manuale.Registrazione manuale.

    Aprire quindi lo Smart Account (https://software.cisco.com/) e passare a Account locali.

    Fare clic su Nuovo in locale

    Aggiunta di nuovi elementi locali.Aggiunta di nuovi elementi locali.

    Configurare quindi i parametri successivi:

    • Nome locale: nome personalizzato del nuovo registro.
    • File di registrazione: fare clic su Scegli file e selezionare la richiesta di registrazione.
    • Account virtuale: incollare il nome dell'account virtuale.

    File di autorizzazione.File di autorizzazione.

    E fare clic su Genera file di autorizzazione.

    Scaricare quindi il file di autorizzazione.

    Download del file di autorizzazioneDownload del file di autorizzazione.

    Aprire l'interfaccia utente di CSM per caricare il file di autorizzazione. Fare clic su Sfoglia, scegliere il file e quindi fare clic su Carica.

    Caricamento del file di autorizzazione.Caricamento del file di autorizzazione.

    Passare quindi a Sincronizzazione e fare clic su Azioni > Sincronizzazione manuale > Sincronizzazione completa.

    Sincronizzazione manualeSincronizzazione manuale

    Scaricare il file di richiesta Sync.

    Scaricamento file in corso SincronizzaScaricamento file in corso.

    Aprire lo Smart Account e selezionare Account locale, quindi cercare il nome locale CSM nell'elenco e fare clic su Azioni > Sincronizzazione file

    Caricamento file in corso SincronizzaCaricamento file in corso. Sincronizza.

    Caricare quindi il file di richiesta Sync e fare clic su Genera file di risposta.

    Generazione di un file di rispostaGenerare un file di risposta.

    Quindi fare clic su Scarica file di risposta di sincronizzazione

    Sincronizza fileSincronizza file.

    Infine, caricare il file di risposta Synch nel CSM in sede.

    Sincronizzazione completataSincronizzazione completata.

     Integrazione di CSM On-Prem con ISE.

    1. Aprire l'interfaccia utente di CSM e selezionare Admin Workspace.

    Menu principale CSSM.Menu principale CSSM.

    1. Selezionare Sicurezza > Certificati > Genera CSR
    note-icon

    Nota: è importante configurare il nome host + dominio sul nome comune host perché ISE utilizza questo parametro per stabilire una connessione con il CSM. È possibile utilizzare un indirizzo IP anziché il nome host + dominio, tuttavia si consiglia di utilizzare il nome host + dominio

    note-icon

    Nota: i passaggi successivi descrivono la procedura per installare il certificato GUI nel CSM. Se si desidera proteggere la connessione di gestione al CSM GUI utilizzando un certificato firmato dall'Autorità di certificazione (CA) personale, è necessario verificare i passaggi successivi. In caso contrario, controllare direttamente il punto 9.

    Opzione CSROpzione CSR.

    1. Immettere quindi le informazioni personali. Tenere presente che il Nome alternativo soggetto viene creato automaticamente utilizzando lo stesso valore del Nome comune. Il CSR viene scaricato automaticamente dopo aver fatto clic su Genera.

    Dettagli CSRDettagli CSR.

    1. Firmare il CSR: per ulteriori informazioni, vedere la sezione "Creazione di certificati da un'autorità di certificazione Windows" in questo documento.
    1. Caricare il certificato CA radice.

    Caricamento della CA radiceCaricamento della CA radice.

    Fare clic su Continua.

    Opzione ContinuaOpzione Continua.

    1. Immettere una descrizione e scegliere il certificato radice, quindi fare clic su OK.

    CA radice descrizioneCA radice descrizione.

    1. Caricare il CSR firmato dalla CA (Certificato di identità CSM).

    Caricamento del certificato di identità CSMCaricamento del certificato di identità CSM.

    note-icon

    Nota: nel nostro caso, il certificato intermedio non esiste nella nostra CA. Se tuttavia si utilizza un certificato intermedio nell'architettura, il certificato intermedio è obbligatorio.

    8. Confermare quindi che entrambi i certificati siano stati installati.

    Convalida certificatiConvalida dei certificati.

    1. Creare un token nell'area di lavoro locale SSM: selezione licenze.

    Pagina WorkspacePagina Workspace.

    1. passare a Smart Licensing.

    Pagina delle licenze CSM SmartPagina delle licenze CSM Smart

    1. Cercare l'account virtuale locale, quindi fare clic su Nuovo token e su Continua.

    Opzione Nuovo tokenNuova opzione token.

    1. Selezionare Create Token e copiarlo.

    Creazione di un nuovo tokenCreazione del nuovo token.

    Dettagli tokenDettagli token.

    1. Aprire la GUI di ISE e selezionare Amministrazione > Sistemi > Licenze, quindi fare clic su Dettagli registrazione, selezionare il metodo host del server locale SSM, quindi incollare il token.

    Registrazione delle licenzeRegistrazione delle licenze.

    1. Immettere l'FQDN locale di SSM sull'host del server locale SSM e fare clic su Registra.

    Impostazioni CSSM e ISEImpostazioni CSSM e ISE.

    note-icon

    Nota: è importante configurare il nome host + dominio sul nome comune host perché ISE utilizza questo parametro per stabilire una connessione con il CSM. È possibile utilizzare un indirizzo IP al posto di hostname + domain, tuttavia si consiglia di utilizzare hostname + domain

    1. Infine, la registrazione è stata completata.

    Registrazione completataRegistrazione completata.

     Crea certificati da CA di Windows.

    L'amministratore dell'Autorità di certificazione deve eseguire le operazioni seguenti:

    1. Aprire un browser Web e passare a http://localhost/certsrv/
    2. Fare clic su Request a certificate (Richiedi certificato).

    Richiedi certificatoRichiedi certificato.

    1. Fare clic su Richiesta avanzata certificati.

    Richiesta avanzata di certificatiRichiesta avanzata di certificati.

    1. Aprire il CSR generato in precedenza.  Copiare quindi le informazioni e incollarle su Richiesta salvata.

    Invia certificatoInvia certificato.

    Dopo aver fatto clic su Invia, il certificato viene scaricato automaticamente.

    1. Scaricare la radice del certificato CA. Tornare a http://localhost/certsrv/ e selezionare Download a CA Certificate, Certificate Chain o CRL.

    Scarica CA radiceScaricare la CA radice.

    1. Scaricare il certificato CA utilizzando il metodo di codifica Base64.

    Opzione Base 64Base 64.

    Aggiungere record DNS in Windows Server.

    Se l'utente è l'amministratore, aggiungere gli FQDN ISE e CSM.

    1. Aprire Gestore DNS: digitare "DNS" nel Finder di Windows e aprire l'app DNS.

    Opzione DNSOpzione DNS.

    1. Passare a Zone di ricerca diretta > E scegliere il dominio.

    Gestore DNSGestore DNS.

    1. Fare clic con il pulsante destro del mouse su uno spazio nero e selezionare "New Host (A or AAAA)" (Nuovo host (A o AAAA)

    Aggiunta recordAggiunta record in corso.

    1. Configurare il record DNS come il seguente:
    • Name: indica il nome dell'host.
    • Indirizzo IP del dispositivo.

    Fare clic su "Add Host" (Aggiungi host)

    Impostazioni registrazioneImpostazioni di registrazione.

    Risoluzione dei problemi

    Host/indirizzo IP non raggiungibile.  (Errore ISE)

    Errore non raggiungibileErrore raggiungibile.

    Soluzione 1: controllare e correggere la configurazione DNS nel nodo ISE.

    1. Aprire ISE CLI e digitare "nslookup <CSSM_FQDN>"

    Nell'esempio seguente, è possibile vedere che cssm.testlab.local non è stato risolto dal nodo ISE.

    Risoluzione CSSM non riuscitaRisoluzione CSM non riuscita.

    La risoluzione corretta sarebbe:

    Risoluzione CSSM completataRisoluzione CSSM completata.

    Piano d'azione:

    1. Controllare l'argomento sulla configurazione DNS in questo documento.
    2. Immettere il comando show running-config sulla CLI di ISE per controllare il "ip name-server". Il "ip name-server" deve corrispondere all'indirizzo IP del server DNS.

    Soluzione 2: aprire l'interfaccia utente grafica di CSM per verificare che il nome comune e il certificato browser dell'host corrispondano al parametro CSM On-Prem Server Host sul lato ISE.

    Scenario errato:

    La risoluzione CSM e l'impostazione ISE non sono corretteLa risoluzione CSM e l'impostazione ISE non sono corrette.

    Scenario corretto:

    La risoluzione CSM e l'impostazione ISE sono corretteLa risoluzione CSM e l'impostazione ISE sono corrette.

    Piano d'azione: per ulteriori informazioni, vedere "ISE e configurazione del modulo CSM" in questa guida.

    Servizio SSO: impossibile raggiungere Cisco. (Errore in CSSM locale)

    Registrazione account non riuscitaRegistrazione account non riuscita.

    Soluzione: verificare la connettività a Internet.

    Piano d'azione:

    1. Se è necessario un proxy per accedere a Internet, selezionare Rete > Proxy, abilitare l'opzione Usa un server proxy e fare clic su Applica.

    Configurazione del proxyConfigurazione del proxy.

    Il nome comune nel CSR non è un nome host o un indirizzo IP risolvibile DNS. Riprovare. (Errore in CSSM locale)

    Errore CSRErrore CSR.

    Soluzione: verificare e correggere la risoluzione DNS nel server CSM.

    1. Aprire la CLI di CSM e digitare "nslookup <CSSM_FQDN>"

    Nell'esempio successivo viene indicato che cssm.testlab.local non è stato risolto dal server CSSM.

    Server DNS non raggiungibileServer DNS non raggiungibile.

    L'output corretto sarebbe il seguente:

    Server DNS raggiungibileServer DNS raggiungibile.

    Piano d'azione:

    Controllare le configurazioni DNS nel locale CSM.

    1. passare a Rete > Generale > Impostazione DNS.

    Il DNS primario o alternativo deve corrispondere all'indirizzo IP del server DNS.

    Impostazioni DNSImpostazioni DNS.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    25-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Oscar de Jesus Tegoma Aguilar

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti