ISE 3.3 pxGrid Direct 구성 및 문제 해결

소개

이 문서에서는 외부 REST API를 사용하여 Cisco Identity Service Engine 3.3 pxGrid Direct Connector를 구성하여 엔드포인트 데이터를 가져오는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• Cisco ISE 3.3
• REST API

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco ISE 3.3
• 엔드포인트 특성에 대한 JSON 데이터를 제공한 REST API 서버

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

Cisco pxGrid Direct는 엔드포인트 특성에 대한 JSON 데이터를 제공하는 외부 REST API에 연결하고 이 데이터를 Cisco ISE 데이터베이스로 가져올 수 있도록 하여 엔드포인트를 더 빨리 평가하고 인증할 수 있도록 지원합니다. 이 기능을 사용하면 엔드포인트에 권한을 부여할 때마다 엔드포인트 특성 데이터를 쿼리할 필요가 없습니다. 그런 다음 권한 부여 정책에서 가져온 데이터를 사용할 수 있습니다.

pxGrid Direct는 pxGrid Direct 구성에서 지정한 특성을 기반으로 데이터를 수집하는 데 도움이 됩니다. Unique Identifier(고유 식별자) 및 Correlation Identifier(상관관계 식별자)라는 두 개의 필수 필드는 관련 데이터를 가져오는 데 사용됩니다. 커넥터에 이러한 필드 중 하나에 대한 값이 없으면 커넥터에서 데이터를 가져오고 저장하는 데 오류가 발생할 수 있습니다.

pxGrid Direct 커넥터 구성

1단계. 새 pxGrid Direct 커넥터 추가

pxGrid Direct Connector를 구성하려면 ISE에서 Administration(관리) > Network Resources(네트워크 리소스) > pxGrid Direct Connectors(pxGrid Direct 커넥터)로 이동합니다. Add(추가)를 클릭합니다.

pxGrid Direct Connect 마법사의 시작 페이지가 열리면

2단계. pxGrid 직접 커넥터 정의

커넥터에 이름을 지정하고 필요한 경우 설명을 입력합니다. Next(다음)를 클릭합니다.

3단계. URL

• 엔드포인트 특성에 대한 JSON 데이터를 제공하는 외부 REST API의 URL을 입력합니다.
• Authentication(인증)에서 외부 REST API 서버의 사용자 이름과 비밀번호를 입력합니다.
• Test Connection(연결 테스트)을 선택하고 Successful(성공) 메시지를 기다린 후 Next(다음)를 클릭합니다.

4단계. 일정

전체 동기화 일정을 선택합니다.

• 기본값 - 1주
• 최소값 - 12시간
• 최대값 - 1개월

증분 동기화 일정을 선택합니다. 이 옵션은 3단계에서 구성한 경우에만 나타납니다.

• 기본값 - 1일
• 최소값 - 1시간
• 최대값 - 1주

Next(다음)를 클릭합니다.

5단계. 상위 개체

특성을 검색하려면 JSON 키를 입력해야 합니다.

6단계. 속성

정책에 사용할 수 있는 사전 항목을 구성하려면 JSON의 특성을 선택합니다.

이 시나리오에서 사전에 포함 된 속성은 다음과 같습니다.

• 자산
• ip_주소
• mac_address
• os_version
• sys_id
• sys_update
• u_segmentation_group_tag

Next(다음)를 클릭합니다.

7단계. 식별자

• CMDB 데이터베이스에서 엔드포인트에 대해 고유하고 외부 REST API 서버가 JSON을 가져오는 Unique Identifier 특성을 선택합니다.
• ISE에 고유하고 엔드포인트와 권한 부여 정책을 매칭할 수 있는 상관관계 식별자 특성을 선택합니다.

Next(다음)를 클릭합니다.

8단계. 요약

pxGrid Direct 커넥터가 올바르게 구성되었는지 확인합니다. 완료를 클릭합니다.

커넥터가 완료되면 pxGrid Direct Connectors(pxGrid 직접 커넥터) 페이지에 나타납니다.

9단계. 확인

ISE에서 Policy(정책) > Policy Elements(정책 요소) > Dictionary(사전) > System Dictionaries(시스템 사전)로 이동합니다. pxGrid Direct 커넥터의 이름으로 필터링합니다. 선택한 후 보기를 클릭합니다.

Dictionary Attributes(사전 특성)로 이동하고 6단계 아래에서 Dictionary Items(사전 항목)로 구성된 특성 목록을 확인합니다.

Context Visibility pxGrid Direct 대시보드

ISE에서 Context Visibility(상황 가시성) > Endpoints(엔드포인트) > More(자세히) > pxGrid Direct Endpoints(pxGrid Direct 엔드포인트)로 이동합니다. 상관관계 및 고유 식별자에 대해 선택된 값이 있는 엔드포인트 목록이 나타납니다.

상관관계 ID를 클릭하여 세부 정보를 보거나 특정 엔드포인트의 특성을 다운로드합니다.

pxGrid Direct 사전을 사용한 권한 부여 정책 컨피그레이션

ISE에서 Policy(정책) > Policy Sets(정책 집합) > Select a Policy Set(정책 집합 선택) > Authorization Policy(권한 부여 정책)로 이동합니다. Authorization Policies(권한 부여 정책)에서 톱니바퀴 아이콘을 클릭하고 Insert(삽입)를 선택합니다.

규칙에 이름을 지정하고 새 조건을 추가하여 Condition Studio를 엽니다.

새 특성을 추가하려면 클릭하고 Unclassified(분류되지 않음)로 이동한 다음 Dictionary(사전) 필터에서 pxGrid Direct Connector의 이름으로 이동합니다.

권한 부여 정책에서 처리 할 수 있는 속성을 선택 하고 값을 설정 합니다. Use(사용)를 클릭합니다.

조건의 결과로 프로파일을 선택합니다. 저장을 클릭합니다.

새 규칙을 테스트합니다. 엔드포인트의 RADIUS 라이브 로그 세부사항 및 권한 부여 정책의 값이 pxGrid Direct Connector 특성의 규칙 이름과 동일한지 확인합니다.

문제 해결

ISE에서 Operation(작업) > Troubleshoot(문제 해결) > Debug Wizard(디버그 마법사) > Debug Log Configuration(디버그 로그 컨피그레이션)으로 이동합니다. PAN(Primary Admin Node)을 선택하고 Edit(편집)를 클릭합니다.

Component Name(구성 요소 이름)을 pxGrid Direct로 필터링하고 필요한 로그 레벨을 선택합니다. 저장을 클릭합니다.

• ISE PAN CLI에서 로그는 다음 위치에 있습니다.

admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log

• ISE GUI에서 Operations(운영) > Troubleshoot(문제 해결) > Download Logs(로그 다운로드) > Select ISE PAN(ISE PAN 선택) > Debug log(디버그 로그) > Debug Log Type(디버그 로그 유형) > Debug Application Logs(애플리케이션 로그)로 이동합니다. pxgriddirect-service.log 및 pxgriddirect-connector.log의 zip 파일을 다운로드합니다.