使用開放式API配置ISE許可
簡介
本文檔介紹如何使用Open API配置Cisco Identity Service Engine 3.3許可。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco ISE 3.3
- REST API
- 智慧軟體授權
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ISE 3.3
- 失眠REST API客戶端。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
思科ISE許可提供管理應用功能和訪問的能力,例如可以隨時使用思科ISE網路資源的併發活動終端數量。思科ISE中的許可作為基於功能的軟體包提供,其中每種許可型別支援不同的功能。
思科ISE是基於訂用的解決方案。思科ISE訂用許可證是巢狀的,這意味著較高層許可證包括所有較低層功能。例如,ISE高級許可證包括對映到ISE優勢和ISE基礎許可證的所有功能。同樣,ISE Advantage許可證包括對映到ISE Essentials許可證的所有功能。使用此模型,您可以直接購買Premier或Advantage許可證,無需獲得Essentials許可證。
初始步驟
在ISE上啟用開放式API
Open API在ISE上預設禁用。要啟用它,請導航到管理>系統> API設定> API服務設定。切換開啟API選項。按一下「Save」。
開啟API設定
Swagger UI
要訪問ISE上的所有開放式API定義,請導航至管理>系統>設定> API設定。點選連結有關ISE開放式API的詳細資訊,請訪問:。
本文檔中使用的定義URL為:https://<ISE-PAN-IP>/api/swagger-ui/index.html?urls.primaryName=License
使用Open API配置許可
GET許可證層狀態
要配置許可證,需要使用層狀態來瞭解合規性屬性,因為尚未配置許可證,合規性屬性可以設定為「評估」。
| 方法 | GET |
| URL | https://<ISE-PAN-IP>:443/api/v1/license/system/tier-state |
| 驗證型別 | 基本 |
| 憑證 | 使用Open API帳戶憑據 |
| 標頭 | Accept:application/json Content-Type:application/json |
驗證
層狀態身份驗證
標頭
層狀態報頭
預期輸出
層狀態預期輸出
評估許可證剩餘的GET天數
為了瞭解評估許可證的剩餘天數,請使用此API呼叫。
| 方法 | GET |
| URL | https://<ISE-PAN-IP>:443/api/v1/license/system/eval-license |
| 驗證型別 | 基本 |
| 憑證 | 使用Open API帳戶憑據 |
| 標頭 | Accept:application/json Content-Type:application/json |
驗證
評估許可證身份驗證
標頭
評估許可證標頭
預期輸出
評估許可證預期輸出
註冊許可證
注意:智慧許可令牌建立超出本文檔的範圍。
要註冊許可證,您需要輸入connectionType、registrationType和tier。
連線型別:
- HTTP_DIRECT
- 代理
- SSM_ONPREM_SERVER如果選擇此屬性,則必須顯示ssmOnPremServer金鑰和值。
- 傳輸閘道
註冊型別:
- 註銷
- 報名
- 續約
- 更新
層:
- 優勢
- DEVICEADMIN
- 必需
- 高級
- 虛擬機器
| 方法 | POST |
| URL | https://<ISE-PAN-IP>:443/api/v1/license/system/register |
| 驗證型別 | 基本 |
| 憑證 | 使用Open api帳戶憑據 |
| 標頭 | Accept:application/json Content-Type:application/json |
| 本文 |
{ |
本文
POST — 註冊許可證正文
驗證
POST — 註冊許可證身份驗證
標頭
POST — 註冊許可證標頭
預期輸出
POST — 註冊許可證預期輸出
驗證
獲取註冊許可證資訊
為了瞭解用於配置註冊的鍵值對,請使用此API呼叫。
| 方法 | GET |
| URL | https://<ISE-PAN-IP>:443/api/v1/license/system/register |
| 驗證型別 | 基本 |
| 憑證 | 使用Open API帳戶憑據 |
| 標頭 | Accept:application/json Content-Type:application/json |
驗證
GET — 註冊許可證身份驗證
標頭
GET — 註冊許可證標頭
預期輸出
GET — 註冊許可證預期輸出
GET智慧許可證資訊
為了瞭解使用智慧許可證連線的狀態,請使用此API呼叫。
| 方法 | GET |
| URL | https://<ISE-PAN-IP>:443/api/v1/license/system/register |
| 驗證型別 | 基本 |
| 憑證 | 使用Open API帳戶憑據 |
| 標頭 | Accept:application/json Content-Type:application/json |
驗證
智慧許可資訊身份驗證
標頭
智慧許可資訊標頭
預期輸出
智慧許可資訊預期輸出
ISE GUI許可證驗證
以便在GUI上驗證安裝是否正確。導航到Administration > System > Licensing > Licenses。
智慧許可GUI驗證
注意:已釋放權利意味著許可證已購買並釋放以供使用,但迄今為止尚未在此思科ISE部署中使用任何許可證。在這種情況下,許可證的消耗計數為0。消費計數從0更改後,許可證可以更改為「合規性」
疑難排解
授權
從ISE導航到操作>故障排除>調試嚮導>調試日誌配置。 選擇您的主管理節點(PAN),然後單擊Edit(編輯)。
過濾Component Name by License和admin-license,然後選擇需要的日誌級別。按一下「儲存」。
偵錯層組態授權
- 在ISE PAN CLI上,可在以下位置找到日誌:
admin#show logging application ise-psc.log
- 在ISE GUI上導航至 操作>故障排除>下載日誌>選擇ISE PAN >調試日誌>調試日誌型別>應用程式日誌.下載ise-psc.log的zip檔案。
開放式API
從ISE導航到操作>故障排除>調試嚮導>調試日誌配置。 選擇您的主管理節點(PAN),然後單擊Edit(編輯)。
篩選Component Nameby apiservice並選擇所需的日誌級別。按一下「儲存」。
調試級別配置開放式API
- 在ISE PAN CLI上,可在以下位置找到日誌:
admin#show logging application api-service.log
- 在ISE GUI上導航至 操作>故障排除>下載日誌>選擇ISE PAN >調試日誌>調試日誌型別>應用程式日誌.下載api-service.log的壓縮檔案。
- API響應代碼及其可能的含義:
- 200(OK):表示開放式API已成功執行所需的操作。
- 201(已建立):表示已建立資源並且請求成功。
- 400(錯誤請求):伺服器無法處理該請求。識別由於請求語法格式錯誤、引數無效等引起的客戶端錯誤。閱讀消息詳細資訊(如果可用)。
- 401(未授權):這表示執行操作時使用了錯誤的憑據、沒有憑據或帳戶無權執行此操作。
- 403(已禁止):這表示伺服器能夠理解請求,但未獲得授權。
- 404(未找到):這表示伺服器無法找到請求的資源。
- 500(內部伺服器錯誤):表示伺服器端出現問題。登入ISE有助於瞭解原因。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
10-Oct-2023 |
初始版本 |
意見