المقدمة
يوضح هذا المستند طرق تثبيت تصحيحات ISE والأسئلة المتداولة أثناء التثبيت.
المتطلبات الأساسية
المتطلبات
معرفة أساسية بمحرك خدمة الهوية (ISE).
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Identity Service Engine، الإصدار 2.X
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تصدر Cisco مجموعات تصحيح ISE على أساس شبه منتظم. تحتوي هذه الرقع على إصلاح الأخطاء، وعند الضرورة، إصلاحات الأمان (على سبيل المثال، نقاط ضعف Heartbleed و Podle التي تم اكتشافها مع SSL). وهذا يضمن تطبيق إصلاح الأخطاء وتوصيل نقاط ضعف الأمان والعمل على الحل بسلاسة تامة.
عند تثبيت حزمة على عقدة ISE، تتم إعادة تمهيد العقدة. قم بإعادة تشغيل الخدمات بعد اكتمال التثبيت. انتظر عدة دقائق قبل أن تتمكن من تسجيل الدخول مرة أخرى.
يمكنك جدولة عمليات تثبيت التصحيح داخل نافذة الصيانة لتجنب انقطاع الخدمة مؤقتًا.
قم بتثبيت تصحيحات قابلة للتطبيق فقط على إصدار Cisco الذي تم نشره في شبكتك. تقوم Cisco بالإبلاغ عن أي حالة عدم تطابق في الإصدارات بالإضافة إلى أي أخطاء في ملف التصحيح.
لا يمكنك تثبيت حزمة من إصدار أقل من التصحيح المثبت حاليا على Cisco. وبالمثل، لا يمكنك التراجع عن تغييرات تصحيح إصدار أقل إذا كان إصدار أعلى مثبتًا حاليًا على Cisco.
عندما تقوم بتثبيت حزمة من Primary Administration Node (PAN)
ذلك الجزء من نشر موزع، يقوم Cisco ISE بتثبيت التصحيح على العقدة الأساسية ثم على جميع العقد الثانوية في النشر. إذا نجح تثبيت التصحيح على وحدة التحكم في الشبكة (PAN)، فعندئذ يتابع Cisco ISE تثبيت الحزم على العقد الثانوية. في حالة فشله على وحدة التحكم في الشبكة (PAN)، لا يتم متابعة التثبيت إلى العقد الثانوية. ومع ذلك، إذا فشل التثبيت على أي من العُقد الثانوية لأي سبب من الأسباب، فلا يزال مستمرًا مع العقدة الثانوية التالية في النشر الخاص بك.
عندما يركب أنت حزمة من ال PAN أن يكون جزء من نشر ثنائي العقدة، cisco يثبت التصحيح على العقدة الأساسية وبعد ذلك على العقدة الثانوية.
إذا نجح تثبيت التصحيح على PAN، تستمر Cisco بعد ذلك في تثبيت الحزم على العقدة الثانوية. في حالة فشله على PAN، لا ينتقل التثبيت إلى العقدة الثانوية.
يجب أن تتمتع بدور المسؤول الرئيسي أو مسؤول النظام لتثبيت مجموعات التصحيح أو التراجع عنها. تجميع النسخ الاحتياطي للتكوين والنسخ الاحتياطي أثناء التشغيل قبل بدء تثبيت التصحيح.
تثبيت برنامج تصحيح باستخدام واجهة المستخدم الرسومية
لتنزيل تصحيحات ISE من Cisco.com، انتقل إلى Downloads > Products > Security > Access Control and Policy > Identity Services Engine > Identity Services Engine Software
(هنا).
ملاحظة: تكون تصحيحات Cisco ISE تراكمية عادة، مما يعني أن تثبيت التصحيح 11 يتضمن جميع حزم التصحيح من الحزم 1 إلى التصحيح 10. يتطلب تثبيت برامج التصحيح إعادة تشغيل خادم ISE.
ملاحظة: تحقق من المجموع الاختباري MD5/SHA512 بعد تنزيل ملف التصحيح.
من أجل تطبيق التصحيح على ISE، سجل الدخول إلى واجهة المستخدم الرسومية (ISE) Primary Administration Node (PAN)
وقم بتنفيذ الإرشادات التالية:
الخطوة 1. انتقل إلى Administration > System > Maintenance > Patch Management > Install.
الخطوة 2. انقر Browse
واختر ملف التصحيح الذي تم تنزيله من Cisco.com.
الخطوة 3. انقر Install
لتثبيت التصحيح.
تثبيت التصحيح باستخدام CLI
الخطوة 1. قم بتكوين مستودع ISE ووضع حزمة تصحيح ISE المطلوبة في المستودع. لتكوين مستودع ISE، ارجع إلى كيفية تكوين مستودع على ISE
الخطوة 2. سجل الدخول إلى واجهة سطر أوامر ISE باستخدام SSH.
الخطوة 3. تأكد من أن واجهة سطر أوامر (CLI) ISE يمكنها سرد محتوى المستودع.
ISE/admin# show repository FTP_repository
ise-patchbundle-10.2.0.7-Patch6-19021923.SPA.x86_64.tar.gz
ise-patchbundle-10.2.0.7-Patch9-19062923.SPA.x86_64.tar.gz
ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz
الخطوة 4. لتثبيت تصحيح على عقدة ISE معينة من واجهة سطر الأوامر، قم بتشغيل الأمر patch install
في وضع EXEC.
Patch install
سجّل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE عبر بروتوكول SSH وشغّل الأوامر التالية:
ISE/admin#patch install ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch installs only on this node. Install with Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Save the current ADE-OS run configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS run Configuration to startup successfully
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
patch successfully installed
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload lasts approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
كيفية تثبيت التصحيح على جميع عقد ISE في النشر
عندما تقوم بتثبيت حزمة من PAN التي تعد جزءا من نشر موزع، يقوم Cisco ISE بتثبيت التصحيح على العقدة الأساسية ثم على جميع العقد الثانوية في النشر. في حال نجاح تثبيت التصحيح على عقدة الإدارة الأساسية (PAN) الأولية، يستمر محرك خدمات كشف الهوية (ISE) من Cisco في تثبيت التصحيح على العُقد الثانوية. في حالة فشله على وحدة التحكم في الشبكة (PAN)، لا يتم متابعة التثبيت إلى العقد الثانوية.
ومع ذلك، إذا فشل التثبيت على أي من العُقد الثانوية لأي سبب من الأسباب، فلا يزال مستمرًا مع العقدة الثانوية التالية في النشر الخاص بك.
كيفية إستعادة التصحيح على جميع عقد ISE في النشر
للرجوع عن تصحيح من عُقد Cisco ISE في النشر، يجب عليك أولاً التراجع عن التغيير من عقدة الإدارة الأساسية (PAN). إذا نجح ذلك، فسيتم إرجاع التصحيح من العُقد الثانوية. إذا فشلت عملية التراجع في عقدة الإدارة الأساسية (PAN)، لن يتم التراجع عن مجموعات التصحيح من العُقد الثانوية. ومع ذلك، إذا فشلت عملية التراجع عن التصحيح على أي عقدة ثانوية، فلا تزال العملية مستمرة في التراجع عن التصحيح من العقدة الثانوية التالية في النشر الخاص بك.
بينما يرجِع Cisco ISE التصحيح من العُقد الثانوية، يمكنك الاستمرار في تنفيذ مهام أخرى من واجهة المستخدم الرسومية لـ PAN. يتم إعادة تشغيل العقد الثانوية بعد التراجع.
لاستعادة تصحيحات ISE، قم بتسجيل الدخول ISE GUI
إلى التصحيح والتصفح إليه Administration > System > Maintenance > Patch Management
وحدد التصحيح المطلوب والنقرات Rollback,
المعروضة:
كيفية التراجع عن برنامج التصحيح من واجهة سطر الأوامر (CLI) الخاصة ب ISE
الخطوة 1. SSH إلى عقدة ISE التي تريد إزالة التصحيح فيها.
الخطوة 2. تحقق من التصحيحات المثبتة على عقدة ISE باستخدام الأمر Show Version
ISE/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 00:45:06 2019
Install Date : Mon Sep 30 12:17:29 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Oct 01 01:30:12 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 3
Install Date : Tue Mar 24 05:35:19 2020
الخطوة 3. قم بتشغيل الأمر patch remove
<اسم التطبيق> <رقم ملف التصحيح المراد إزالته>
على سبيل المثال:- patch remove ise 2
ISE/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Patch successfully uninstalled
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
ملاحظة: تتسم تصحيحات ISE بطبيعتها التراكمية ولا يمكن إسترجاعها مع وجود إصدار أحدث. يتطلب الإصدار الأحدث الرجوع أولا.
لإزالة تثبيت التصحيح السابق، قم بإزالة تثبيت أحدث حزمة أولا ثم إصدار التصحيح السابق.
ISE/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.
التحقق من الصحة
لعرض تقدم تثبيت تصحيح ISE، انتقل إلى Administration > System > Maintenance > Patch Management > Show Node Status
كما هو موضح في الصورة:
تحقق من حالة تثبيت التصحيح من عقدة ISE. سجل إلى ال نفسه ISE نادل وشغل الأمر Show Version
ISE1/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 06:15:06 2019
Install Date : Thu Nov 21 16:39:02 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Thu Apr 02 11:00:08 2020
ISE1/admin#
التحقق من رسائل التصحيح الناجحة والفاشلة في أجهزة تنبيه ISE:
مرجع سجل تثبيت التصحيح الناجح
isea/admin# sh log system ade/ADE.log tail
2020-04-19T15:38:01.634794+05:30 isea ADEOSJAVAAPI[26999]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=kopriadm, cause=Application patch install has been inititated, adminipaddress=10.65.80.116, interface=GUI,
detail=Patch Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinstallrepo
2020-04-19T15:38:01.635194+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[796] [test]: Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinsta
llrepo
2020-04-19T15:38:01.784100+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[913] [test]: Stage area - /storeddata/Install/.1587290881
2020-04-19T15:38:01.827925+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[918] [test]: Getting bundle to local machine
2020-04-19T15:38:01.829562+05:30 isea ADE-SERVICE[1158]: [26999]:[error] config:repository: rm_repos_cfg.c[552] [test]: server not found in url
2020-04-19T15:38:01.830656+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer.c[66] [test]: local copy in of ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz requested
2020-04-19T15:38:02.873630+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer_util.c[2293] [test]: Properties file /tmp/.cars_repodownload.props exists need to cleanup after a SIGNAL or download complete
2020-04-19T15:38:03.247065+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[954] [test]: Got bundle at - /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:03.247424+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1002] [test]: Unbundling package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:09.066295+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1064] [test]: Verifying signature for package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:13.171615+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1073] [test]: Signed bundle /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz confirme
d with release key
2020-04-19T15:38:18.816986+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1166] [test]: Unbundling done. Verifying input parameters...
2020-04-19T15:38:18.877267+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1195] [test]: Manifest file is at - /storeddata/Install/.1587290881/manifest.xml
2020-04-19T15:38:18.877604+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1234] [test]: Manifest file appname - ise
2020-04-19T15:38:18.878051+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1286] [test]: Patch bundle contains patch(3) for app version(10.1.0.0)
2020-04-19T15:38:18.878254+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install ci_util.c[305] [test]: Comparing installed app version:(10.1.0.0) and version of app the patch is meant for:(10.1.0.0)
2020-04-19T15:38:18.878517+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1321] [test]: Manifest file pkgtype - CARS
2020-04-19T15:38:18.878712+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1735] [test]: Verifying zip...
2020-04-19T15:38:27.006433+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1796] [test]: Executing patch install script patchinstall.sh from patch.zip
2020-04-19T15:38:27.209692+05:30 isea test: info:[patchinstall.sh] START PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Install/.1587290881 INSTALLDIRS:
2020-04-19T15:38:27.211274+05:30 isea test: info:[patchinstall.sh] NEW PATCH VER: 3 PRIOR PATCH VER: 0
2020-04-19T15:38:27.213166+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Begin
2020-04-19T15:38:27.214840+05:30 isea test: info:[patchinstall.sh] Remove IRF-Rabbitmq container
2020-04-19T15:38:27.753502+05:30 isea test: info:[patchinstall.sh] IRF-Rabbitmq container id -
2020-04-19T15:38:27.755172+05:30 isea test: info:[patchinstall.sh] No IRF-Rabbitmq container exist to remove.\n
2020-04-19T15:38:27.756631+05:30 isea test: info:[patchinstall.sh] Remove IRF-Core-Engine container
2020-04-19T15:38:27.781127+05:30 isea test: info:[patchinstall.sh] IRF-Core-Engine container id -
2020-04-19T15:38:27.783028+05:30 isea test: info:[patchinstall.sh] No IRF-Core-Engine container exist to remove.\n
2020-04-19T15:38:27.784724+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Completed
2020-04-19T15:38:33.077501+05:30 isea test: info:[application:operation:cpmcontrol.sh] In Stop Monit
2020-04-19T15:38:33.197734+05:30 isea test: Monit daemon with pid [12796] killed
2020-04-19T15:38:34.289656+05:30 isea test: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2020-04-19T15:38:34.671998+05:30 isea ADEOSShell[28278]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2020-04-19T15:38:43.621160+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2020-04-19T15:38:43.657769+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2020-04-19T15:38:43.989085+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2020-04-19T15:38:44.019674+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2020-04-19T15:38:44.367442+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2020-04-19T15:38:44.400103+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2020-04-19T15:38:44.713844+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2020-04-19T15:38:44.753547+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2020-04-19T15:38:46.166418+05:30 isea test: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2020-04-19T15:38:46.168374+05:30 isea ADEOSShell[29231]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2020-04-19T15:41:37.224949+05:30 isea test: info:[patchinstall.sh] ISE 10.1.0.0 patch 3 installFileSystem() INVOKED
2020-04-19T15:41:37.245321+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/xde/xdeRuntime/packages/std/WorkflowsProject.xar
2020-04-19T15:41:37.251672+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/bin/ctl/radius_auth.ctl
2020-04-19T15:41:37.258874+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Audit/Internal-Administrator-Summary.xml
2020-04-19T15:41:37.265939+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Endpoint.xml
2020-04-19T15:41:37.273866+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Condition.xml
2020-04-19T15:41:37.280143+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/mnt-collection.jar
2020-04-19T15:41:37.288008+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/libJniCollector.so
2020-04-19T15:41:37.295128+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libapr-1.a
2020-04-19T15:41:37.302031+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libtcnative-1.a
2020-04-19T15:41:37.308615+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/webapps/ocsp-responder-webapp/WEB-INF/lib/import-export-2.6
.0-156.jar
Broadcast message from root@isea (Sun Apr 19 15:50:40 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@isea (Sun Apr 19 15:51:01 2020):
The system is going down for reboot NOW
Session terminated, killing shell... ...killed.