配置ISE 3.3 pxGrid Direct並對其進行故障排除

下載選項

PDF (2.0 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (1.7 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (1.3 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 9 月 29 日

文件 ID:221004

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何配置帶有外部REST API的思科身份服務引擎3.3 pxGrid直接聯結器以獲取終端資料。

必要條件

需求

思科建議您瞭解以下主題：

思科ISE 3.3
REST API

採用元件

本文中的資訊係根據以下軟體和硬體版本：

思科ISE 3.3
為終端屬性提供JSON資料的REST API伺服器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

思科pxGrid Direct透過使您能夠連線到外部REST API（為終端屬性提供JSON資料）並將這些資料提取到思科ISE資料庫，幫助您更快地評估和授權終端。此功能無需在每次必須授權終端時查詢終端屬性資料。然後，您可以在授權策略中使用提取的資料。

pxGrid Direct有助於根據您在pxGrid Direct配置中指定的屬性收集資料。兩個必填欄位「唯一識別符號」和「關聯識別符號」用於提取相關資料。如果聯結器不包含這些欄位的值，則從聯結器擷取和儲存資料可能會出錯。

配置pxGrid直接聯結器

步驟 1.增加新的pxGrid直接聯結器

要配置pxGrid Direct聯結器，請從ISE導航到管理>網路資源> pxGrid直接聯結器。按一下Add。增加新的pxGrid直接聯結器

打開pxGrid直接連線嚮導的歡迎頁面後，按一下

步驟 2.定義pxGrid直接聯結器

為聯結器指定名稱，並在需要時提供說明。按「Next」（下一步）。

定義pxGrid直接聯結器

警告：選中Skip Certificate Validations覈取方塊以允許Cisco ISE接受伺服器提供的任何證書而不驗證主機名或其他詳細資訊。只有在測試環境中或您信任連線的伺服器高度安全時，才能選中此覈取方塊。通常，跳過證書驗證會使您的網路易受中間機器攻擊。

步驟 3.URL

鍵入向終端屬性提供JSON資料的外部REST API的URL。
在Authentication下，輸入外部REST API伺服器的使用者名稱和密碼。
選擇測試連線，等待成功消息，然後按一下下一步。

提示：增量URL對於配置是可選的。如果外部REST API具有「請求引數」，則可以使用特定引數進行過濾來獲取最新資訊，而不是請求所有資料。請確認外部REST API伺服器的檔案內有Request引數。

步驟 4.排程

選取「完全同步排程」。

預設值- 1週
最小值- 12小時
最大值- 1個月

選取增量同步的排程。僅當在步驟3中配置了此選項時，此選項才會顯示。

預設值- 1天
最小值- 1小時
最大值- 1週

按「Next」（下一步）。

計畫將從pxGrid直接聯結器觸發

步驟 5.父物件

必須鍵入JSON金鑰才能搜尋屬性。

父對象JSON

步驟 6.屬性

選擇JSON的屬性以配置可用於策略的詞典項。

在此案例中，「說明」中包含的屬性包括：

資產
ip_address
mac_address
os_version
sys_id
sys_update
u_segmentation_group_tag

按「Next」（下一步）。

端點的屬性

步驟 7.辨識碼

從CMDB資料庫中選擇一個端點所獨有的唯一識別符號屬性，外部REST API伺服器將在其中獲取JSON。
選擇ISE獨有的能夠將終端與授權策略匹配的關聯識別符號屬性。

按「Next」（下一步）。

pxGrid聯結器儀表板的識別符號

步驟 8.摘要

確保pxGrid直接聯結器配置正確。按一下「完成」。

要驗證配置是否正確配置的配置摘要

聯結器完成後，會顯示在「pxGrid直接聯結器」頁面下。

聯結器已完成

步驟 9.驗證

從ISE，導航到策略>策略元素>詞典>系統詞典。按pxGrid直接聯結器的名稱篩選。選擇它並按一下View。

系統詞典

導航到Dictionary Attributes，並檢視步驟6下配置為Dictionary Items的屬性清單。

詞典屬性

環境可視性pxGrid直接儀表板

從ISE，導航至情景可視性>終端>更多> pxGrid直接終端。 系統將顯示端點的清單，其中包含關聯和唯一識別符號的選定值。

點選相關ID以檢視詳細資訊，或下載特定終端的屬性。

pxGrid控制台

使用pxGrid Direct Dictionary的授權策略配置

從ISE，導航到策略> 策略集>選擇策略集 > 授權策略。在任何授權策略中點選齒輪圖示，然後選擇插入。

為規則指定名稱並新增條件以開啟Condition Studio。

按一下以增加新屬性，導航到未分類，在詞典下按pxGrid直接聯結器的名稱進行過濾。條件工作室

選擇可在授權策略下處理的屬性，並設定值。按一下Use。

條件最終策略

選取「設定檔」作為條件的結果。按一下Save。

檢閱原則

測試新規則。確保終端的RADIUS即時日誌詳細資訊和授權策略的值與具有pxGrid直接聯結器屬性的規則名稱相同。

使用者的PERMIT-ACCESS

疑難排解

從ISE，導航到操作>故障排除>調試嚮導>調試日誌配置。選擇您的主管理節點(PAN)，然後點選編輯。

按pxGrid Direct過濾元件名稱，然後選擇所需的日誌級別。按一下Save。

調試日誌配置

在ISE PAN CLI上，可以在以下位置找到日誌：

admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log

在ISE GUI上，導航到Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs。下載pxgriddirect-service.log和pxgriddirect-connector.log的zip檔案。

附註：

pxgriddirect-service的日誌包含有關提取的終端資料是否已經接收並儲存到Cisco ISE資料庫的資訊。

pxgriddirect-connector的日誌包含指示pxGrid Directed聯結器是否成功增加到Cisco ISE的資訊。

修訂記錄

修訂	發佈日期	意見
1.0	29-Sep-2023	初始版本

由思科工程師貢獻

Ernesto Cruz Lopez
Technical Consulting Engineer