配置ISE 3.3 pxGrid Direct并对其进行故障排除

下载选项

  • PDF     (2.0 MB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2023 年 9 月 29 日
文档 ID:221004

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用外部REST API配置思科身份服务引擎3.3 pxGrid直接连接器以获取终端数据。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 思科ISE 3.3
    • REST API

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科ISE 3.3
    • 为终端属性提供JSON数据的REST API服务器

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    思科pxGrid Direct帮助您连接到为终端属性提供JSON数据的外部REST API,并将这些数据提取到思科ISE数据库中,从而帮助您更快评估和授权终端。此功能无需在每次必须授权端点时查询端点属性数据。然后,您可以在授权策略中使用提取的数据。

    pxGrid Direct有助于根据您在pxGrid Direct配置中指定的属性收集数据。两个必填字段“唯一标识符”和“关联标识符”用于获取相关数据。如果连接器不包含上述任何字段的值,则从连接器获取和保存数据可能会出错。

    配置pxGrid直接连接器

    步骤1:添加新的pxGrid直接连接器

    要配置pxGrid直接连接器,请从ISE导航到管理>网络资源> pxGrid直接连接器。单击 Add添加新的pxGrid直接连接器

    打开pxGrid Direct Connect Wizard的Welcome页面后,点击 “开始实践”按钮

    pxGrid直接连接向导

    第二步:定义pxGrid直接连接器

    如果需要,请为连接器指定名称和说明。单击 Next

    定义pxGrid直接连接器

    警告图标

    警告:选中Skip Certificate Validates复选框以允许思科ISE接受服务器提供的任何证书而不验证主机名或其他详细信息。仅在测试环境中或您信任连接的服务器高度安全时,必须选中此复选框。通常,跳过证书验证会使您的网络容易遭受中间机攻击。

    第三步:URL

    • 键入为终端属性提供JSON数据的外部REST API的URL
    • 在Authentication下,输入外部REST API服务器的用户名和密码。
    • 选择测试连接,等待成功消息,然后单击下一步

    为px Grid Direct连接器添加URL

    提示图标

    提示:增量URL对于配置是可选的。如果外部REST API具有请求参数,可以使用这些参数通过特定参数过滤而不是请求所有数据来获取最新信息。确保Request参数与外部REST API服务器的文档一起存在。

    第四步:进度

    选择完全同步计划。

    • 默认值- 1周
    • 最小值- 12小时
    • 最大值- 1个月

    选择增量同步计划。仅当在步骤3中配置了此选项时,才会显示此选项

    • 默认值- 1天
    • 最小值- 1小时
    • 最大值- 1周

    单击 Next。

    计划将从pxGrid直接连接器触发

    第五步:父对象

    必须键入JSON密钥才能搜索属性。

    父对象JSON

    第六步:Attributes

    选择JSON的属性以配置可用于策略的字典项目

    在本场景中,词典中包含的属性包括:

    • 资产
    • ip_address
    • mac_address
    • os_version
    • sys_id
    • sys_update
    • u_segmentation_group_tag

    单击 Next

    终端的属性

    步骤 7.标识符

    • 从CMDB数据库中选择对终端唯一且外部REST API服务器获取JSON的唯一标识符属性。
    • 选择ISE独有的能够将终端与授权策略匹配的Correlation Identifier属性。

    单击 Next

    pxGrid连接器控制面板的标识符

    步骤 8摘要

    确保pxGrid直接连接器已正确配置。单击完成

    配置摘要,验证配置是否正确

    连接器完成后,将显示在“pxGrid直接连接器”(pxGrid Direct Connectors)页面下。

    连接器已完成

    步骤 9确认

    从ISE中,导航到策略>Policy元素>词典>系统词典。按pxGrid直接连接器的名称过滤。选择该窗口并单击View

    系统词典

    导航到字典属性并查看配置为字典项目的属性列表在第6步下。

    词典属性

    情景可视性pxGrid直接控制面板

    从ISE中,导航至情景可视性>终端>更多> pxGrid直接终端。 系统将显示终端的列表,其中已为关联唯一标识符选择值。

    点击相关ID查看详情,或者下载特定端点的属性。

    pxGrid控制面板

    使用pxGrid直接词典的授权策略配置

    从ISE中,导航到策略> 策略集>选择策略集 > 授权策略。点击任何授权策略中的齿轮图标,然后选择插入。

    为规则指定名称并添加新条件以打开条件工作室。

    单击添加新属性,导航到未分类,然后在词典下按pxGrid直接连接器的名称进行过滤。条件工作室

    选择可在授权策略下处理的属性,并设置值。单击Use

    条件最终策略

    选择配置文件作为条件结果。Click Save.

    查看策略

    测试新规则。确保终端的RADIUS实时日志详细信息授权策略的值与具有pxGrid直接连接器属性的规则名称相同。

    用户的PERMIT访问

    故障排除

    从ISE中,导航到操作>故障排除>调试向导>调试日志配置。选择您的主管理节点(PAN),然后点击编辑

    按pxGrid Direct过滤组件名称,然后选择所需的日志级别。Click Save.

    调试日志配置

    • 在ISE PAN CLI上,日志位于:
    admin#show logging application pxgriddirect-service.log
    admin#show logging application pxgriddirect-connector.log
    • 在ISE GUI上,导航到操作>故障排除>下载日志>选择ISE PAN >调试日志> 调试日志类型> 应用日志。下载pxgriddirect-service.log和pxgriddirect-connector.log的压缩文件。
    注释图标

    注意:

    pxgriddirect-service的日志包含有关已提取的终端数据是否已接收并保存到Cisco ISE数据库的信息。

    pxgriddirect连接器的日志包含指示pxGrid定向连接器是否成功添加到思科ISE的信息。

    修订历史记录

    版本 发布日期 备注
    1.0
    29-Sep-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 埃内斯托·克鲁斯·洛佩斯
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品