Instalar Patch no ISE

Introdução

Este documento descreve maneiras de instalar patches do ISE e perguntas frequentes durante a instalação.

Pré-requisitos

Requisitos

Conhecimento básico do Identity Service Engine (ISE).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Identity Service Engine 2.X

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A Cisco lança as correções do ISE semirregularmente. Esses patches contêm correções de bugs e, quando necessário, correções de segurança (por exemplo, o Heartbleed e Poodle detectadas com SSL).

Para garantir que as correções de bugs sejam aplicadas, as vulnerabilidades de segurança são conectadas e a solução funciona perfeitamente.

Quando você instala um patch em um nó do ISE, o nó é reinicializado. Reinicie os serviços após a conclusão da instalação. Aguarde alguns minutos antes de fazer logon novamente.

Você pode agendar as instalações de correção durante uma janela de manutenção, para evitar uma interrupção temporária.

Instale somente os patches aplicáveis à versão da Cisco implantada em sua rede. A Cisco relata qualquer incompatibilidade nas versões, bem como os erros no arquivo de correção.

Você não pode instalar um patch de uma versão inferior à que está atualmente instalada na Cisco. Da mesma forma, você não pode reverter as alterações de uma correção de versão inferior, se uma versão superior estiver instalada atualmente na Cisco.

Quando você instala um patch do Primary Administration Node (PAN) que faz parte de uma implantação distribuída, o Cisco ISE instala o patch no nó primário e, em seguida, em todos os nós secundários na implantação.

Se a instalação do patch for bem-sucedida no PAN, o Cisco ISE continua a instalação do patch nos nós secundários. Se falhar no PAN, a instalação não prossegue para os nós secundários.

No entanto, se a instalação falhar em qualquer um dos nós secundários por qualquer motivo, ela ainda continuará no próximo nó secundário da implantação.

Quando você instala um patch do PAN que faz parte de uma implantação de dois nós, a Cisco instala o patch no nó primário e, em seguida, no nó secundário.

Se a instalação do patch for bem-sucedida no PAN, a Cisco continua a instalação do patch no nó secundário. Se falhar no  PAN, a instalação não prossegue para o nó secundário.

Você deve ter a função de superadministrador ou de administrador do sistema para instalar ou reverter as correções. Colete o backup de configuração e o backup operacional antes do início da instalação do patch.

Instalação de patch com GUI

Para baixar os patches do ISE de Cisco.com, navegue até Downloads > Products > Security > Access Control and Policy > Identity Services Engine > Identity Services Engine Software, ( aqui.)

Observação: os patches do Cisco ISE são normalmente cumulativos, o que significa que a instalação do patch 11 inclui todos os patches do patch 1 ao patch 10. A instalação de correção exige uma reinicialização do servidor ISE.

Observação: verifique a soma de verificação MD5/SHA512 após o download do arquivo Patch.

Para aplicar o patch no ISE, faça login no ISE Primary Administration Node (PAN) e execute estas instruções: 

Etapa 1. Navegue até  Administration > System > Maintenance > Patch Management > Install.

Etapa 2. Clique em Browse e escolha o arquivo de patch baixado de Cisco.com.

Etapa 3.Clique em Install para instalar o Patch.

Instalação de patch com CLI

Etapa 1. Configure um repositório do ISE e coloque a correção do ISE necessária no repositório. Para configurar o repositório do ISE, consulte Como configurar o repositório no ISE

Etapa 2. Faça login no ISE CLI com SSH.

Etapa 3. Verifique se a CLI do ISE pode listar o conteúdo do repositório.

ISE/admin# show repository FTP_repository

ise-patchbundle-10.2.0.7-Patch6-19021923.SPA.x86_64.tar.gz
ise-patchbundle-10.2.0.7-Patch9-19062923.SPA.x86_64.tar.gz
ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz

Etapa 4. Para instalar o patch em um nó específico do ISE a partir da CLI, execute o comando patch install no modo EXEC.

Patch install 
    
     
    
    

Faça login na CLI do nó do ISE usando o SSH e execute estes comandos:

ISE/admin#patch install ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch installs only on this node. Install with Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Save the current ADE-OS run configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS run Configuration to startup successfully
Initiating Application Patch installation...

Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
patch successfully installed

% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload lasts approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW

Como instalar a correção em todos os nós do ISE na implantação

Quando você instala um patch do PAN que faz parte de uma implantação distribuída, o Cisco ISE instala o patch no nó primário e, em seguida, em todos os nós secundários na implantação.

Se a instalação da correção for bem-sucedida no PAN primário, o Cisco ISE continuará a instalação da correção nos nós secundários. Se falhar no PAN, a instalação não prossegue para os nós secundários.

No entanto, se a instalação falhar em qualquer um dos nós secundários por qualquer motivo, ela ainda continuará no próximo nó secundário da implantação.

Como reverter a correção em todos os nós do ISE na implantação

Para reverter um patch dos nós do Cisco ISE em uma implantação, você deve primeiro reverter a alteração do PAN.

Se essa ação for realizada com sucesso, a correção será revertida nos nós secundários. Se o processo de reversão falhar no PAN, os patches não são revertidos dos nós secundários.

No entanto, se a reversão da correção falhar em qualquer nó secundário, ela ainda continuará no próximo nó secundário da implantação.

Enquanto o Cisco ISE reverte o patch dos nós secundários, você pode continuar a executar outras tarefas no PAN GUI. Os nós secundários são reiniciados após a reversão.

Para reverter os patches do ISE, faça login no ISE GUI e navegue até Administration > System > Maintenance > Patch Management > e selecione o patch necessário e clique em Rollback, como mostrado:

Como reverter a correção da CLI do ISE?

Etapa 1. Execute o SSH para o nó do ISE em que você deseja remover a correção.

Etapa 2. Verifique os patches instalados no nó do ISE com o comando  Show Version

ISE/admin# show version

Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE

Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 00:45:06 2019
Install Date : Mon Sep 30 12:17:29 2019

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Oct 01 01:30:12 2019

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 3
Install Date : Tue Mar 24 05:35:19 2020

Etapa 3. Executar o comando patch remove <nome do aplicativo> <número do arquivo de patch a ser removido> 

            Por exemplo:- patch remove ise 2

ISE/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.

Patch successfully uninstalled

% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8  03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW

Observação: os patches do ISE são cumulativos por natureza e não podem ser revertidos enquanto houver uma versão mais recente. A versão mais recente requer a reversão primeiro.

  Para desinstalar o patch anterior, desinstale primeiro o patch mais recente e, em seguida, a versão do patch anterior.

ISE/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment. 
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first. 

Verificar

Para exibir o andamento da instalação do patch do ISE, navegue até Administration > System > Maintenance > Patch Management  > Show Node Status conforme mostrado na imagem:

Verifique o status de instalação do patch do nó ISE. Faça login no mesmo servidor ISE e execute o comando Show Version

ISE1/admin# show version

Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64

Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE1

Version information of installed applications
---------------------------------------------

Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 06:15:06 2019
Install Date : Thu Nov 21 16:39:02 2019

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Thu Apr 02 11:00:08 2020

ISE1/admin#  

Verifique as mensagens de patch bem-sucedidas e com falha em alarmes ISE:

Referência de registro de instalação de correção bem-sucedida

isea/admin# sh log system ade/ADE.log tail
2020-04-19T15:38:01.634794+05:30 isea ADEOSJAVAAPI[26999]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=kopriadm, cause=Application patch install has been inititated, adminipaddress=10.65.80.116, interface=GUI, 
detail=Patch Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinstallrepo
2020-04-19T15:38:01.635194+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[796] [test]: Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinsta
llrepo
2020-04-19T15:38:01.784100+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[913] [test]: Stage area - /storeddata/Install/.1587290881
2020-04-19T15:38:01.827925+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[918] [test]: Getting bundle to local machine
2020-04-19T15:38:01.829562+05:30 isea ADE-SERVICE[1158]: [26999]:[error] config:repository: rm_repos_cfg.c[552] [test]: server not found in url
2020-04-19T15:38:01.830656+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer.c[66] [test]: local copy in of ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz requested
2020-04-19T15:38:02.873630+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer_util.c[2293] [test]: Properties file /tmp/.cars_repodownload.props exists need to cleanup after a SIGNAL or download complete
2020-04-19T15:38:03.247065+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[954] [test]: Got bundle at - /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:03.247424+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1002] [test]: Unbundling package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:09.066295+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1064] [test]: Verifying signature for package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:13.171615+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1073] [test]: Signed bundle /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz confirme
d with release key
2020-04-19T15:38:18.816986+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1166] [test]: Unbundling done. Verifying input parameters...
2020-04-19T15:38:18.877267+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1195] [test]: Manifest file is at - /storeddata/Install/.1587290881/manifest.xml
2020-04-19T15:38:18.877604+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1234] [test]: Manifest file appname - ise
2020-04-19T15:38:18.878051+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1286] [test]: Patch bundle contains patch(3) for app version(10.1.0.0)
2020-04-19T15:38:18.878254+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install ci_util.c[305] [test]: Comparing installed app version:(10.1.0.0) and version of app the patch is meant for:(10.1.0.0)
2020-04-19T15:38:18.878517+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1321] [test]: Manifest file pkgtype - CARS
2020-04-19T15:38:18.878712+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1735] [test]: Verifying zip...
2020-04-19T15:38:27.006433+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1796] [test]: Executing patch install script patchinstall.sh from patch.zip
2020-04-19T15:38:27.209692+05:30 isea test: info:[patchinstall.sh] START PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Install/.1587290881 INSTALLDIRS: 
2020-04-19T15:38:27.211274+05:30 isea test: info:[patchinstall.sh] NEW PATCH VER: 3 PRIOR PATCH VER: 0 
2020-04-19T15:38:27.213166+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Begin
2020-04-19T15:38:27.214840+05:30 isea test: info:[patchinstall.sh] Remove IRF-Rabbitmq container
2020-04-19T15:38:27.753502+05:30 isea test: info:[patchinstall.sh] IRF-Rabbitmq container id - 
2020-04-19T15:38:27.755172+05:30 isea test: info:[patchinstall.sh] No IRF-Rabbitmq container exist to remove.\n
2020-04-19T15:38:27.756631+05:30 isea test: info:[patchinstall.sh] Remove IRF-Core-Engine container
2020-04-19T15:38:27.781127+05:30 isea test: info:[patchinstall.sh] IRF-Core-Engine container id - 
2020-04-19T15:38:27.783028+05:30 isea test: info:[patchinstall.sh] No IRF-Core-Engine container exist to remove.\n
2020-04-19T15:38:27.784724+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Completed
2020-04-19T15:38:33.077501+05:30 isea test: info:[application:operation:cpmcontrol.sh] In Stop Monit
2020-04-19T15:38:33.197734+05:30 isea test: Monit daemon with pid [12796] killed
2020-04-19T15:38:34.289656+05:30 isea test: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2020-04-19T15:38:34.671998+05:30 isea ADEOSShell[28278]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2020-04-19T15:38:43.621160+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2020-04-19T15:38:43.657769+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2020-04-19T15:38:43.989085+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2020-04-19T15:38:44.019674+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2020-04-19T15:38:44.367442+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2020-04-19T15:38:44.400103+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2020-04-19T15:38:44.713844+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2020-04-19T15:38:44.753547+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2020-04-19T15:38:46.166418+05:30 isea test: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2020-04-19T15:38:46.168374+05:30 isea ADEOSShell[29231]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped

2020-04-19T15:41:37.224949+05:30 isea test: info:[patchinstall.sh] ISE 10.1.0.0 patch 3 installFileSystem() INVOKED
2020-04-19T15:41:37.245321+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/xde/xdeRuntime/packages/std/WorkflowsProject.xar 
2020-04-19T15:41:37.251672+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/bin/ctl/radius_auth.ctl 
2020-04-19T15:41:37.258874+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Audit/Internal-Administrator-Summary.xml 
2020-04-19T15:41:37.265939+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Endpoint.xml 
2020-04-19T15:41:37.273866+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Condition.xml 
2020-04-19T15:41:37.280143+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/mnt-collection.jar 
2020-04-19T15:41:37.288008+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/libJniCollector.so 
2020-04-19T15:41:37.295128+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libapr-1.a 
2020-04-19T15:41:37.302031+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libtcnative-1.a 
2020-04-19T15:41:37.308615+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/webapps/ocsp-responder-webapp/WEB-INF/lib/import-export-2.6
.0-156.jar

Broadcast message from root@isea (Sun Apr 19 15:50:40 2020):

Trying to stop processes gracefully. Reload takes approximately 3 mins

Broadcast message from root@isea (Sun Apr 19 15:51:01 2020):

The system is going down for reboot NOW

Session terminated, killing shell... ...killed.