Einleitung
In diesem Dokument werden Möglichkeiten zur Installation von ISE-Patches und häufig gestellten Fragen während der Installation beschrieben.
Voraussetzungen
Anforderungen
Grundkenntnisse der Identity Service Engine (ISE)
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Identity Service Engine 2.x
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Cisco veröffentlicht relativ regelmäßig ISE-Patches. Diese Patches enthalten Bugfixes und, falls nötig, Sicherheitsfixes (z.B. die mit SSL entdeckten Schwachstellen Heartbleed und Poodle). So wird sichergestellt, dass Bugfixes angewendet werden, Sicherheitslücken eingesteckt werden und die Lösung nahtlos funktioniert.
Wenn Sie einen Patch auf einem ISE-Knoten installieren, wird der Knoten neu gestartet. Starten Sie die Dienste nach Abschluss der Installation neu. Warten Sie einige Minuten, bevor Sie sich erneut anmelden können.
Sie können Patch-Installationen während eines Wartungsfensters planen, um einen vorübergehenden Ausfall zu vermeiden.
Installieren Sie nur Patches, die für die in Ihrem Netzwerk bereitgestellte Cisco Version gelten. Cisco meldet Versionsunterschiede sowie Fehler in der Patch-Datei.
Sie können keinen Patch installieren, der eine niedrigere Version als der aktuell bei Cisco installierte Patch aufweist. Ebenso können Sie keine Änderungen an einem Patch mit niedrigerer Version zurücksetzen, wenn derzeit eine höhere Version auf Cisco installiert ist.
Wenn Sie einen Patch von dem installieren, Primary Administration Node (PAN)
der Teil einer verteilten Bereitstellung ist, installiert die Cisco ISE den Patch auf dem primären Knoten und dann auf allen sekundären Knoten in der Bereitstellung. Wenn die Patch-Installation auf dem PAN erfolgreich ist, setzt die Cisco ISE die Patch-Installation auf den sekundären Knoten fort. Bei einem PAN-Ausfall wird die Installation nicht auf die sekundären Knoten durchgeführt. Sollte die Installation jedoch auf einem der sekundären Knoten fehlschlagen, wird sie dennoch auf dem nächsten sekundären Knoten in der Bereitstellung fortgesetzt.
Wenn Sie einen Patch vom PAN installieren, der Teil einer Bereitstellung mit zwei Knoten ist, installiert Cisco den Patch auf dem primären Knoten und dann auf dem sekundären Knoten.
Wenn die Patch-Installation auf dem PAN erfolgreich ist, setzt Cisco die Patch-Installation auf dem sekundären Knoten fort. Bei einem PAN-Ausfall wird die Installation nicht auf den sekundären Knoten durchgeführt.
Sie müssen die Super-Admin-Rolle oder System-Admin-Rolle haben, um die Patches installieren oder ein Rollback durchführen zu können. Sichern Sie die Konfiguration und das betriebliche Backup, bevor die Patch-Installation beginnt.
Patch-Installation mit GUI
Um die ISE-Patches von Cisco.com herunterzuladen, navigieren Sie zu Downloads > Products > Security > Access Control and Policy > Identity Services Engine > Identity Services Engine Software
(hier).
Hinweis: Cisco ISE-Patches sind in der Regel kumulativ. Das bedeutet, dass die Installation von Patch 11 alle Patches von Patch 1 bis Patch 10 umfasst. Die Patch-Installation erfordert einen Neustart des ISE-Servers.
Hinweis: Überprüfen Sie die MD5/SHA512-Prüfsumme nach dem Download der Patch-Datei.
Um den Patch auf der ISE anzuwenden, melden Sie sich bei der ISE- Primary Administration Node (PAN)
GUI an, und führen Sie die folgenden Anweisungen aus:
Schritt 1: Navigieren Sie zu Administration > System > Maintenance > Patch Management > Install.
Schritt 2: Klicken Sie auf Browse
, und wählen Sie die Patch-Datei aus, die von Cisco.com heruntergeladen wurde.
Schritt 3: Klicken Sie hier Install
, um den Patch zu installieren.
Patch-Installation mit CLI
Schritt 1: Konfigurieren Sie ein ISE-Repository, und platzieren Sie den erforderlichen ISE-Patch im Repository. Hinweise zum Konfigurieren des ISE-Repository finden Sie bei den Informationen zum Konfigurieren eines Repositorys auf der ISE.
Schritt 2: Melden Sie sich mit SSH bei der ISE-CLI an.
Schritt 3: Stellen Sie sicher, dass die ISE-CLI den Repository-Inhalt auflisten kann.
ISE/admin# show repository FTP_repository
ise-patchbundle-10.2.0.7-Patch6-19021923.SPA.x86_64.tar.gz
ise-patchbundle-10.2.0.7-Patch9-19062923.SPA.x86_64.tar.gz
ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz
Schritt 4: Führen Sie den Befehl im EXEC-Modus aus, um Patch auf einem bestimmten ISE-Knoten über die patch install
CLI zu installieren.
Patch install
Melden Sie sich über SSH bei der CLI des ISE-Knotens an, und führen Sie die folgenden Befehle aus:
ISE/admin#patch install ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch installs only on this node. Install with Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Save the current ADE-OS run configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS run Configuration to startup successfully
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
patch successfully installed
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload lasts approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
Wie installiere ich den Patch auf allen ISE-Knoten in der Bereitstellung
Wenn Sie einen Patch vom PAN installieren, der Teil einer verteilten Bereitstellung ist, installiert die Cisco ISE den Patch auf dem primären Knoten und dann auf allen sekundären Knoten in der Bereitstellung. Wenn die Patch-Installation auf dem primären PAN erfolgreich ist, fährt die Cisco ISE mit der Patch-Installation auf den sekundären Knoten fort. Bei einem PAN-Ausfall wird die Installation nicht auf die sekundären Knoten durchgeführt.
Sollte die Installation jedoch auf einem der sekundären Knoten fehlschlagen, wird sie dennoch auf dem nächsten sekundären Knoten in der Bereitstellung fortgesetzt.
Wie führe ich ein Rollback des Patchs auf allen ISE-Knoten in der Bereitstellung durch
Für ein Patch-Rollback von Cisco ISE-Knoten in einer Bereitstellung müssen Sie zuerst ein Rollback der Änderung über den PAN durchführen. Wenn dies erfolgreich war, wird ein Rollback des Patch von den sekundären Knoten durchgeführt. Wenn der Rollback-Prozess auf dem PAN fehlschlägt, erfolgt kein Rollback der Patches von den sekundären Knoten. Sollte das Patch-Rollback hingegen auf einem sekundären Knoten fehlschlagen, wird es dennoch ab dem nächsten sekundären Knoten in Ihrer Bereitstellung fortgesetzt.
Während das Patch-Rollback von den sekundären Knoten durch die Cisco ISE erfolgt, können Sie weitere Aufgaben über die PAN-GUI ausführen. Die sekundären Knoten werden nach dem Rollback neu gestartet.
Um die ISE-Patches zurückzufahren, melden Sie sich bei ISE GUI
an, navigieren Sie zu Administration > System > Maintenance > Patch Management
, und wählen Sie den erforderlichen Patch aus. Klicken Sie Rollback,
anschließend auf:
Wie führe ich ein Rollback des Patchs über die ISE-CLI durch
Schritt 1: Stellen Sie über SSH eine Verbindung zu dem ISE-Knoten her, von dem Sie den Patch entfernen möchten.
Schritt 2: Überprüfen Sie die installierten Patches auf dem ISE-Knoten mithilfe des folgenden Befehls: Show Version
ISE/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 00:45:06 2019
Install Date : Mon Sep 30 12:17:29 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Oct 01 01:30:12 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 3
Install Date : Tue Mar 24 05:35:19 2020
Schritt 3: Führen Sie den Befehl patch remove
<Anwendungsname> <zu entfernende Patch-Datei> aus.
Beispiel:- patch remove ise 2
ISE/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Patch successfully uninstalled
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Hinweis: ISE-Patches sind kumulativ und können nicht zurückgesetzt werden, solange eine neuere Version vorhanden ist. Für die neuere Version muss zuerst ein Rollback durchgeführt werden.
Um den vorherigen Patch zu deinstallieren, deinstallieren Sie zuerst den neuesten Patch und dann die vorherige Patch-Version.
ISE/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.
Überprüfung
Um den Fortschritt der ISE-Patch-Installation anzuzeigen, navigieren Sie Administration > System > Maintenance > Patch Management > Show Node Status
wie im Bild gezeigt zu:
Überprüfen des Patch-Installationsstatus vom ISE-Knoten Melden Sie sich beim gleichen ISE-Server an, und führen Sie den Befehl aus. Show Version
ISE1/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 06:15:06 2019
Install Date : Thu Nov 21 16:39:02 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Thu Apr 02 11:00:08 2020
ISE1/admin#
Überprüfen Sie erfolgreiche und fehlgeschlagene Patch-Meldungen in ISE-Alarmen:
Protokollreferenz für eine erfolgreiche Patch-Installation
isea/admin# sh log system ade/ADE.log tail
2020-04-19T15:38:01.634794+05:30 isea ADEOSJAVAAPI[26999]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=kopriadm, cause=Application patch install has been inititated, adminipaddress=10.65.80.116, interface=GUI,
detail=Patch Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinstallrepo
2020-04-19T15:38:01.635194+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[796] [test]: Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinsta
llrepo
2020-04-19T15:38:01.784100+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[913] [test]: Stage area - /storeddata/Install/.1587290881
2020-04-19T15:38:01.827925+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[918] [test]: Getting bundle to local machine
2020-04-19T15:38:01.829562+05:30 isea ADE-SERVICE[1158]: [26999]:[error] config:repository: rm_repos_cfg.c[552] [test]: server not found in url
2020-04-19T15:38:01.830656+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer.c[66] [test]: local copy in of ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz requested
2020-04-19T15:38:02.873630+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer_util.c[2293] [test]: Properties file /tmp/.cars_repodownload.props exists need to cleanup after a SIGNAL or download complete
2020-04-19T15:38:03.247065+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[954] [test]: Got bundle at - /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:03.247424+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1002] [test]: Unbundling package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:09.066295+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1064] [test]: Verifying signature for package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:13.171615+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1073] [test]: Signed bundle /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz confirme
d with release key
2020-04-19T15:38:18.816986+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1166] [test]: Unbundling done. Verifying input parameters...
2020-04-19T15:38:18.877267+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1195] [test]: Manifest file is at - /storeddata/Install/.1587290881/manifest.xml
2020-04-19T15:38:18.877604+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1234] [test]: Manifest file appname - ise
2020-04-19T15:38:18.878051+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1286] [test]: Patch bundle contains patch(3) for app version(10.1.0.0)
2020-04-19T15:38:18.878254+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install ci_util.c[305] [test]: Comparing installed app version:(10.1.0.0) and version of app the patch is meant for:(10.1.0.0)
2020-04-19T15:38:18.878517+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1321] [test]: Manifest file pkgtype - CARS
2020-04-19T15:38:18.878712+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1735] [test]: Verifying zip...
2020-04-19T15:38:27.006433+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1796] [test]: Executing patch install script patchinstall.sh from patch.zip
2020-04-19T15:38:27.209692+05:30 isea test: info:[patchinstall.sh] START PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Install/.1587290881 INSTALLDIRS:
2020-04-19T15:38:27.211274+05:30 isea test: info:[patchinstall.sh] NEW PATCH VER: 3 PRIOR PATCH VER: 0
2020-04-19T15:38:27.213166+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Begin
2020-04-19T15:38:27.214840+05:30 isea test: info:[patchinstall.sh] Remove IRF-Rabbitmq container
2020-04-19T15:38:27.753502+05:30 isea test: info:[patchinstall.sh] IRF-Rabbitmq container id -
2020-04-19T15:38:27.755172+05:30 isea test: info:[patchinstall.sh] No IRF-Rabbitmq container exist to remove.\n
2020-04-19T15:38:27.756631+05:30 isea test: info:[patchinstall.sh] Remove IRF-Core-Engine container
2020-04-19T15:38:27.781127+05:30 isea test: info:[patchinstall.sh] IRF-Core-Engine container id -
2020-04-19T15:38:27.783028+05:30 isea test: info:[patchinstall.sh] No IRF-Core-Engine container exist to remove.\n
2020-04-19T15:38:27.784724+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Completed
2020-04-19T15:38:33.077501+05:30 isea test: info:[application:operation:cpmcontrol.sh] In Stop Monit
2020-04-19T15:38:33.197734+05:30 isea test: Monit daemon with pid [12796] killed
2020-04-19T15:38:34.289656+05:30 isea test: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2020-04-19T15:38:34.671998+05:30 isea ADEOSShell[28278]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2020-04-19T15:38:43.621160+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2020-04-19T15:38:43.657769+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2020-04-19T15:38:43.989085+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2020-04-19T15:38:44.019674+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2020-04-19T15:38:44.367442+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2020-04-19T15:38:44.400103+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2020-04-19T15:38:44.713844+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2020-04-19T15:38:44.753547+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2020-04-19T15:38:46.166418+05:30 isea test: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2020-04-19T15:38:46.168374+05:30 isea ADEOSShell[29231]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2020-04-19T15:41:37.224949+05:30 isea test: info:[patchinstall.sh] ISE 10.1.0.0 patch 3 installFileSystem() INVOKED
2020-04-19T15:41:37.245321+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/xde/xdeRuntime/packages/std/WorkflowsProject.xar
2020-04-19T15:41:37.251672+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/bin/ctl/radius_auth.ctl
2020-04-19T15:41:37.258874+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Audit/Internal-Administrator-Summary.xml
2020-04-19T15:41:37.265939+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Endpoint.xml
2020-04-19T15:41:37.273866+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Condition.xml
2020-04-19T15:41:37.280143+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/mnt-collection.jar
2020-04-19T15:41:37.288008+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/libJniCollector.so
2020-04-19T15:41:37.295128+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libapr-1.a
2020-04-19T15:41:37.302031+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libtcnative-1.a
2020-04-19T15:41:37.308615+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/webapps/ocsp-responder-webapp/WEB-INF/lib/import-export-2.6
.0-156.jar
Broadcast message from root@isea (Sun Apr 19 15:50:40 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@isea (Sun Apr 19 15:51:01 2020):
The system is going down for reboot NOW
Session terminated, killing shell... ...killed.