Configurazione e risoluzione dei problemi di ISE 3.3 pxGrid Direct
Sommario
Introduzione
In questo documento viene descritto come configurare Cisco Identity Service Engine 3.3 pxGrid Direct Connector con le API REST esterne per ottenere i dati degli endpoint.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco ISE 3.3
- API REST
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco ISE 3.3
- Server API REST che ha fornito i dati JSON per gli attributi degli endpoint
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Cisco pxGrid Direct aiuta a valutare e autorizzare gli endpoint in modo più rapido, consentendo la connessione alle API REST esterne che forniscono dati JSON per gli attributi dell'endpoint e il recupero di questi dati nel database Cisco ISE. Questa funzionalità elimina la necessità di eseguire query per i dati degli attributi dell'endpoint ogni volta che un endpoint deve essere autorizzato. È quindi possibile utilizzare i dati recuperati nei criteri di autorizzazione.
pxGrid Direct consente di raccogliere i dati in base agli attributi specificati nelle configurazioni di pxGrid Direct. Per recuperare i dati rilevanti vengono utilizzati due campi obbligatori denominati identificatore univoco e identificatore di correlazione. Se un connettore non contiene valori per uno di questi campi, il recupero e il salvataggio dei dati da un connettore può essere errato.
Configurazione dei connettori diretti di pxGrid
Passaggio 1. Aggiungi un nuovo connettore diretto pxGrid
Per configurare il connettore diretto di pxGrid, da ISE selezionare Amministrazione > Risorse di rete > Connettori diretti di pxGrid. Fare clic su Add.
Una volta aperta la pagina iniziale della procedura guidata per la connessione diretta di pxGrid, fare clic su 
Passaggio 2. Definire il connettore diretto pxGrid
Assegnare un nome al connettore e, se necessario, una descrizione. Fare clic su Next (Avanti).
Avviso: selezionare la casella di controllo Ignora convalida certificato per consentire a Cisco ISE di accettare qualsiasi certificato presentato da un server senza verificare il nome host o altri dettagli. È necessario selezionare questa casella di controllo solo in un ambiente di prova o se si ritiene che il server connesso sia altamente sicuro. In genere, ignorare le convalide dei certificati può rendere la rete vulnerabile agli attacchi da computer in mezzo.
Passaggio 3. URL
- Digitare l'URL dell'API REST esterna che fornisce i dati JSON per l'attributo endpoint.
- In Autenticazione immettere il nome utente e la password del server API REST esterno.
- Selezionare Test connessione, attendere il messaggio Operazione riuscita, quindi fare clic su Avanti.
Suggerimento: l'URL incrementale è facoltativo per la configurazione. Se l'API REST esterna dispone di argomenti di richiesta, questi possono essere utilizzati per ottenere le informazioni più recenti filtrando con l'argomento specifico invece di richiedere tutti i dati. Verificare che l'argomento Request esista con la documentazione del server API REST esterno.
Passaggio 4. Pianificazione
Selezionare la Pianificazione per una SINCRONIZZAZIONE COMPLETA.
- Valore predefinito - 1 settimana
- Valore minimo - 12 ore
- Valore massimo - 1 mese
Selezionare la pianificazione per la SINCRONIZZAZIONE INCREMENTALE. Questa opzione viene visualizzata solo se è stata configurata nel passo 3.
- Valore predefinito - 1 giorno
- Valore minimo - 1 ora
- Valore massimo - 1 settimana
Fare clic su Next (Avanti).
Passaggio 5. Oggetto Parent
È necessario digitare la chiave JSON per cercare gli attributi.
Passaggio 6. Attributi
Selezionare gli attributi del JSON per configurare gli elementi del dizionario che possono essere utilizzati per i criteri.
In questo scenario, gli attributi inclusi nel dizionario sono:
- bene
- indirizzo_ip
- mac_indirizzo
- versione_os
- id_sistema
- aggiornamento_sistema
- u_segmentation_group_tag
Fare clic su Next (Avanti).
Passaggio 7. Identificatori
- Selezionare gli attributi Unique Identifier univoci per un endpoint dal database CMDB e in cui il server API REST esterno ottiene il JSON.
- Selezionare gli attributi Correlation Identifier univoci per ISE e che possono associare un endpoint a un criterio di autorizzazione.
Fare clic su Next (Avanti).
Passaggio 8. Riepilogo
Verificare che il connettore diretto pxGrid sia configurato correttamente. Selezionate Fatto (Done).
Una volta terminato, il connettore viene visualizzato nella pagina dei connettori diretti di pxGrid.
Passaggio 9. Verifica
Da ISE, selezionare Policy > Policy Elements > Dictionary > System Dictionaries. Filtrare in base al nome del connettore diretto pxGrid. Selezionarla e fare clic su Visualizza.
Passare ad Attributi dizionario e vedere la lista di attributi configurati come Voci di dizionario al passo 6.
Dashboard diretto pxGrid visibilità contesto
Da ISE, selezionare Context Visibility > Endpoints > More > pxGrid Direct Endpoints. Viene visualizzato un elenco degli endpoint con i valori selezionati per Correlazione e Identificatori univoci.
Fare clic sull'ID correlazione per visualizzare i dettagli o scaricare gli attributi di un endpoint specifico.
Configurazione dei criteri di autorizzazione con il dizionario diretto pxGrid
Da ISE, selezionare Policy > Policy Sets > Select a Policy Set > Authorization Policy. Fare clic sull'icona a forma di ingranaggio in uno dei criteri di autorizzazione e selezionare Inserisci.
Assegnare un nome alla regola e aggiungere una nuova condizione per aprire Studio condizioni.
Fare clic per aggiungere un nuovo attributo, passare a Non classificato e in Dizionario filtro in base al nome del connettore diretto pxGrid.
Selezionare un attributo che può essere elaborato in un criterio di autorizzazione e impostare il valore. Fare clic su Usa.
Selezionate il profilo come risultato della condizione. Fare clic su Save (Salva).
Verificare la nuova regola. Verificare che RADIUS Live Log Details dell'endpoint e che il valore di Authorization Policy (Criteri di autorizzazione) sia lo stesso di Rule Name (Nome regola) con gli attributi pxGrid Direct Connector.
Risoluzione dei problemi
Da ISE, selezionare Operazione > Risoluzione dei problemi > Procedura guidata debug > Configurazione log di debug. Selezionare il PAN (Primary Admin Node) e fare clic su Modifica.
Filtrare il nome del componente in base a pxGrid Direct e selezionare il livello di log necessario. Fare clic su Save (Salva).
- Dalla CLI di ISE PAN, i log sono disponibili all'indirizzo:
admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log
- Dalla GUI di ISE, selezionare Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs. Scaricare i file zip per pxgriddirect-service.log e pxgriddirect-connector.log.
Nota:
I log per pxgriddirect-service contengono informazioni che indicano se i dati dell'endpoint recuperati sono stati ricevuti e salvati nel database Cisco ISE.
I log per pxgriddirect-connector contengono informazioni che indicano se un connettore diretto pxGrid è stato aggiunto correttamente a Cisco ISE.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
29-Sep-2023 |
Versione iniziale |
Feedback