Remova dispositivos de rede do ISE usando a API ERS
Introdução
Este documento descreve o processo para excluir dispositivos de acesso à rede (NADs) no ISE através da API ERS usando PostMan como o cliente REST.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- ISE (Identity Services Engine, mecanismo de serviços de identidade)
- ERS (External RESTful Services, Serviços RESTful externos)
- Clientes do REST como Postman, RESTED, Insomnia, etc.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- Cisco ISE (Identity Services Engine) 3.1 patch 6
- Postman REST client v10.16
Observação: o procedimento é semelhante ou idêntico para outras versões do ISE e Clientes REST. Você pode usar essas etapas em todas as versões 2.x e 3.x do software ISE, a menos que declarado o contrário.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Ativar ERS (Porta 9060)
As APIs ERS são APIs REST somente HTTPS que operam nas portas 443 e 9060. A porta 9060 é fechada por padrão, por isso precisa ser aberta primeiro. Um tempo limite do servidor será apresentado se os clientes que tentarem acessar essa porta não ativarem o ERS primeiro. Portanto, o primeiro requisito é ativar o ERS na interface do usuário do administrador do Cisco ISE.
Navegue até Administration > Settings > API Settings e ative o botão de alternância ERS (Read/Write).
Observação: as APIs ERS suportam TLS 1.1 e TLS 1.2. As APIs ERS não suportam TLS 1.0, independentemente de ativar TLS 1.0 na janela Configurações de segurança da GUI do Cisco ISE (Administração > Sistema > Configurações > Configurações de segurança). A habilitação do TLS 1.0 na janela Configurações de segurança está relacionada apenas ao protocolo EAP e não afeta as APIs ERS.
Observação: operações de exclusão em massa não são suportadas pelo ISE. A exclusão de NAD deve ser executada uma de cada vez.
Criar ERS Admin
Crie um administrador do Cisco ISE, atribua uma senha e adicione um usuário ao grupo admin como ERS Admin. Você pode deixar o restante da configuração vazio.
Configurar Postman
Baixe ou use a versão online do Postman .
- Crie um usuário e um espaço de trabalho clicando em Criar espaço de trabalho na guia Espaços de trabalho.
2. Selecione Espaço de Trabalho em Branco e atribua um nome ao espaço de trabalho. Você pode adicionar uma descrição e torná-la pública. Para este exemplo, Personal está selecionado.
Depois de criar o espaço de trabalho, você pode configurar nossas chamadas à API.
Obter nome e ID do NAD
Antes de começar a excluir NADs, você deve primeiro saber o Nome ou a ID do NAD. O nome NAD é facilmente obtido da lista NAD no ISE, mas a ID só pode ser obtida de uma chamada à API GET. A mesma chamada de API não apenas retorna a ID do NAD, mas também o nome e a descrição, se houver, adicionada durante a configuração do NAD.
Para configurar a chamada GET, acesse primeiro o ISE ERS SDK (Software Developer Kit). Esta ferramenta compila toda a lista de chamadas de API que o ISE pode executar:
- Navegue até https://{ise-ip}/ers/sdk
- Faça login usando suas credenciais de administrador do ISE.
- Agora, expanda a documentação da API
- Role para baixo até encontrar Network Device e clique nele.
- Nessa opção, você pode encontrar todas as operações disponíveis que podem ser executadas para dispositivos de rede no ISE. Selecione Get-All
6. Agora você pode ver a configuração necessária para executar a chamada à API em qualquer Cliente Rest, bem como um exemplo de resposta esperada.
7. Voltar ao Postman, configure a autenticação básica no ISE. Na guia Authorization, selecione Basic Auth como o tipo de autenticação e adicione as credenciais do usuário do ISE ERS criadas anteriormente no ISE.
Observação: as senhas são mostradas como texto claro, a menos que as variáveis sejam configuradas no Postman
8. Vá até a guia Cabeçalhos e configure os cabeçalhos necessários para a chamada de API conforme visto no SDK. Para este exemplo, JSON é usado, mas xml também pode ser usado. Para este exemplo, a configuração do cabeçalho deve ser semelhante a esta:
9. Efetue a chamada GET. Selecione GET como o método. Cole https://{ISE-ip}/ers/config/networkdevice no campo e clique em Send. Se tudo tiver sido configurado corretamente, você deverá ver uma mensagem 200 Ok e o resultado.
TESTNAD1 e TESTNAD2 podem ser excluídos usando 2 chamadas delete diferentes.
Excluir NAD por ID
Exclua TESTNAD1 usando a ID coletada da chamada GET.
1. No SDK, na guia Network Device, selecione Delete. Como visto anteriormente, aqui estão os cabeçalhos necessários para executar a chamada, bem como a resposta esperada
2. Considerando que os cabeçalhos são semelhantes à chamada GET e que você está executando a chamada DELETE no mesmo ISE, duplique a chamada anterior e altere as variáveis necessárias. No final, a configuração do cabeçalho deve ser semelhante a esta:
3. Agora, exclua TESTAND1. Selecione DELETE como o método. Cole https://{ISE-ip}/ers/config/networkdevice/{id} no campo, substitua {id} pela ID real do NAD visto na chamada GET e clique em Send. Se tudo tiver sido configurado corretamente, você deverá ver uma mensagem 204 No Content e o resultado vazio.
4. Confirme se o NAD foi excluído executando a chamada GET novamente ou verificando a lista ISE NAD. Observe que TESTNAD1 não existe mais.
Excluir NAD por nome
Exclua TESTNAD2 usando o nome coletado da chamada GET ou da lista NAD da GUI do ISE.
- No SDK, na guia Network Device, selecione Delete-by-Name. Como visto anteriormente, aqui estão os cabeçalhos necessários para executar a chamada, bem como a resposta esperada.
2. Considerando que os cabeçalhos são semelhantes à chamada GET e que você está executando a chamada DELETE no mesmo ISE, duplique a chamada anterior e altere as variáveis necessárias. No final, a configuração do cabeçalho deve ser semelhante a esta:
3. Exclua TESTAND2. Selecione DELETE como o método. Cole https://{ISE-ip}/ers/config/networkdevice/name/{name} no campo, substitua {name} pelo nome real do NAD visto na chamada GET ou na GUI do ISE e clique em Send. Se tudo tiver sido configurado corretamente, você deverá ver uma mensagem 204 No Content e o resultado vazio.
4. Confirme se o NAD foi excluído executando a chamada GET novamente ou verificando a lista ISE NAD. Observe que TESTNAD2 não existe mais.
Verificar
Se você puder acessar a página da GUI do serviço de API, por exemplo, https://{iseip}:{port}/api/swagger-ui/index.html ou https://{iseip}:9060/ers/sdk, isso significa que o serviço de API está funcionando conforme esperado.
Troubleshooting
- Todas as operações REST são auditadas e os registros são registrados nos registros do sistema.
- Para solucionar problemas relacionados às APIs abertas, defina o Nível de Log do componente apiservice como DEBUG na janela Configuração do Log de Depuração.
- Para solucionar problemas relacionados às APIs ERS, defina o Nível de Log do componente ers como DEBUG na janela Debug Log Configuration. Para visualizar essa janela, navegue até a GUI do Cisco ISE, clique no ícone Menu e escolha Operations > Troubleshoot > Debug Wizard > Debug Log Configuration.
- Você pode fazer o download dos logs na janela Download Logs. Para visualizar essa janela, navegue até a GUI do Cisco ISE, clique no ícone Menu e escolha Operations > Troubleshoot > Download Logs.
- Você pode optar por fazer download de um pacote de suporte na guia Pacote de suporte clicando no botão Download na guia, ou fazer download dos logs de depuração do api-service na guia Logs de depuração clicando no valor do Arquivo de log para o log de depuração do api-service.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
28-Sep-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)