Entfernen von ISE-Netzwerkgeräten mit ERS API

Download-Optionen

  • PDF     (1.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.3 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:28. September 2023
Dokument-ID:220992

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird der Prozess zum Löschen von Netzwerkzugriffsgeräten (Network Access Devices, NADs) auf der ISE über die ERS-API mit PostMan als REST-Client beschrieben. 

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • ISE (Identity Services Engine)
    • ERS (externe RESTful-Services)
    • REST-Clients wie Postman, RESTED, Insomnia usw.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

    • Cisco ISE (Identity Services Engine) 3.1 Patch 6
    • Postman-REST-Client v10.16
    note-icon

    Hinweis: Das Verfahren ist für andere ISE-Versionen und REST-Clients ähnlich oder identisch. Sofern nicht anders angegeben, können Sie diese Schritte für alle ISE-Softwareversionen der Versionen 2.x und 3.x ausführen.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    ERS aktivieren (Port 9060)

    ERS-APIs sind reine HTTPS-REST-APIs, die über Port 443 und Port 9060 betrieben werden. Port 9060 ist standardmäßig geschlossen, daher muss er zuerst geöffnet werden. Wenn Clients, die versuchen, auf diesen Port zuzugreifen, ERS nicht zuerst aktivieren, wird eine Zeitüberschreitung vom Server angezeigt. Daher muss ERS zuerst über die Cisco ISE-Administrations-Benutzeroberfläche aktiviert werden.

    Navigieren Sie zu Administration > Settings > API Settings, und aktivieren Sie die Umschaltfläche ERS (Read/Write).

    ERS aktivieren

    note-icon

    Hinweis: Die ERS-APIs unterstützen TLS 1.1 und TLS 1.2. ERS-APIs unterstützen TLS 1.0 nicht, unabhängig davon, ob TLS 1.0 im Fenster Sicherheitseinstellungen der Cisco ISE-GUI aktiviert wurde (Administration > System > Einstellungen > Sicherheitseinstellungen). Die Aktivierung von TLS 1.0 im Fenster "Security Settings" (Sicherheitseinstellungen) bezieht sich nur auf das EAP-Protokoll und hat keine Auswirkungen auf ERS APIs.

    note-icon

    Hinweis: Massenlöschvorgänge werden von der ISE nicht unterstützt. NAD-Löschung muss einzeln durchgeführt werden.

    ERS-Administrator erstellen

    Erstellen Sie einen Cisco ISE-Administrator, weisen Sie ein Kennwort zu, und fügen Sie der Admin-Gruppe einen Benutzer als ERS-Administrator hinzu. Sie können den Rest der Konfiguration leer lassen.

    ERS-Benutzer wird erstellt

    Postbote einrichten

    Downloaden oder nutzen Sie die Online-Version von Postman .

    1. Erstellen Sie einen Benutzer, und erstellen Sie einen Arbeitsbereich, indem Sie auf der Registerkarte Arbeitsbereiche auf Arbeitsbereich erstellen klicken.

    Arbeitsbereich für Postdienste erstellen

    2. Wählen Sie Leerer Arbeitsbereich und weisen Sie dem Arbeitsbereich einen Namen zu. Sie können eine Beschreibung hinzufügen und veröffentlichen. Für dieses Beispiel ist Personal ausgewählt.

    Workspace-Namen und Zugriffstyp erstellen

    Nachdem Sie den Arbeitsbereich erstellt haben, können Sie jetzt unsere API-Aufrufe konfigurieren.

    NAD-Name und -ID abrufen

    Bevor Sie mit dem Löschen von NADs beginnen, müssen Sie zunächst den Namen oder die ID des NAD kennen. Der NAD-Name kann leicht aus der NAD-Liste der ISE abgerufen werden, die ID ist jedoch nur über einen GET-API-Aufruf erhältlich. Derselbe API-Aufruf gibt nicht nur die NAD-ID zurück, sondern auch den Namen und die Beschreibung, falls diese während der NAD-Konfiguration hinzugefügt wurde.  

    Zum Konfigurieren des GET-Anrufs greifen Sie zunächst auf das ISE ERS SDK (Software Developer Kit) zu. Dieses Tool erstellt die gesamte Liste der API-Aufrufe, die die ISE ausführen kann:

    1. Navigieren Sie zu https://{ise-ip}/ers/sdk.
    2. Melden Sie sich mit Ihren ISE-Administratoranmeldeinformationen an.
    3. Erweitern Sie jetzt die API-Dokumentation
    4. Blättern Sie nach unten, bis Sie Netzwerkgerät gefunden haben, und klicken Sie darauf.
    5. Unter dieser Option finden Sie nun alle verfügbaren Vorgänge, die Sie für Netzwerkgeräte auf der ISE ausführen können. Alle auswählen

    Zur API-Dokumentation navigieren

    6. Sie können nun die Konfiguration sehen, die erforderlich ist, um den API-Aufruf für einen beliebigen Rest-Client auszuführen, sowie ein erwartetes Antwortbeispiel.

    API-Details

    7. Zurück zu Postman, konfigurieren grundlegende Authentifizierung zu ISE. Wählen Sie auf der Registerkarte Autorisierung die Option Einfache Authentifizierung als Authentifizierungstyp aus, und fügen Sie die zuvor auf der ISE erstellten ISE ERS-Benutzeranmeldeinformationen hinzu.

    note-icon

    Hinweis: Das Kennwort wird als Klartext angezeigt, es sei denn, die Variablen wurden auf Postman konfiguriert.

    Grundlegende Autorisierung konfigurieren

    8. Wechseln Sie zur Registerkarte Headers, und konfigurieren Sie die erforderlichen Header für den API-Aufruf, wie im SDK dargestellt. In diesem Beispiel wird JSON verwendet, es kann jedoch auch xml verwendet werden. In diesem Beispiel muss die Header-Konfiguration wie folgt aussehen:

    Header-Konfiguration

    9. Führen Sie den GET-Anruf aus. Wählen Sie GET als Methode aus. Fügen Sie https://{ISE-ip}/ers/config/network device in das Feld ein, und klicken Sie auf Senden. Wenn alles korrekt konfiguriert wurde, müssen Sie eine Meldung 200 OK und das Ergebnis sehen.

    TESTNAD1 und TESTNAD2 können mit zwei verschiedenen Löschaufrufen gelöscht werden.

    API GET-Ergebnisse

    NAD nach ID löschen

    Löschen Sie TESTNAD1 mit der ID, die Sie beim GET-Anruf gesammelt haben.

    1. Wählen Sie im SDK auf der Registerkarte Netzwerkgerät die Option Löschen. Wie bereits gezeigt, sind hier die Header aufgeführt, die für den Anruf und die erwartete Antwort erforderlich sind.

    API-Details

    2.Da die Header dem GET-Aufruf ähneln und Sie den DELETE-Aufruf auf derselben ISE durchführen, duplizieren Sie den vorherigen Aufruf und ändern die benötigten Variablen. Am Ende muss die Header-Konfiguration wie folgt aussehen:

    Header-Konfiguration

    3. Löschen Sie jetzt TESTNAD1. Wählen Sie als Methode DELETE aus. Fügen Sie https://{ISE-ip}/ers/config/network device/{id} in das Feld ein, ersetzen Sie {id} durch die tatsächliche ID der NAD, die Sie aus dem GET-Anruf sehen können, und klicken Sie auf Senden. Wenn alles korrekt konfiguriert wurde, muss die Meldung 204 No Content (Keine Inhalte) angezeigt werden, und das Ergebnis ist leer.  

    API - Ergebnisse LÖSCHEN

    4. Bestätigen Sie, ob die NAD gelöscht wurde, indem Sie den GET-Anruf erneut durchführen oder die ISE-NAD-Liste überprüfen. Beachten Sie, dass TESTNAD1 nicht mehr vorhanden ist. 

    API GET-Ergebnisse

    Validierung der ISE-GUI

    NAD nach Name löschen

    Löschen Sie TESTNAD2 unter Verwendung des Namens, der aus dem GET-Anruf oder der NAD-Liste der ISE-GUI erfasst wurde.

    1. Wählen Sie im SDK auf der Registerkarte Netzwerkgerät die Option Nach Namen löschen aus. Wie bereits gezeigt, sind hier die Header aufgeführt, die für den Anruf und die erwartete Antwort erforderlich sind.

    API-Details

    2. Da die Header dem GET-Aufruf ähneln und Sie den DELETE-Aufruf auf derselben ISE durchführen, duplizieren Sie den vorherigen Aufruf und ändern die benötigten Variablen. Am Ende muss die Header-Konfiguration wie folgt aussehen:

    Header-Konfiguration

    3. Löschen Sie TESTNAD2. Wählen Sie als Methode DELETE aus. Fügen Sie https://{ISE-ip}/ers/config/network/device/name/{name} in das Feld ein, ersetzen Sie {name} durch den tatsächlichen NAD-Namen, der beim GET-Anruf oder in der ISE-GUI zu sehen ist, und klicken Sie auf Senden. Wenn alles korrekt konfiguriert wurde, muss die Meldung 204 No Content (Keine Inhalte) angezeigt werden, und das Ergebnis ist leer.  

    API - Ergebnisse LÖSCHEN

    4. Bestätigen Sie, ob die NAD gelöscht wurde, indem Sie den GET-Anruf erneut durchführen oder die ISE-NAD-Liste überprüfen. Beachten Sie, dass TESTNAD2 nicht mehr existiert.

    API GET-Ergebnisse

    Validierung der ISE-GUI

    Überprüfung

     Wenn Sie auf die GUI-Seite des API-Diensts zugreifen können, z. B. https://{iseip}:{port}/api/swagger-ui/index.html oder https://{iseip}:9060/ers/sdk, bedeutet dies, dass der API-Dienst wie erwartet funktioniert.

    Fehlerbehebung

    • Alle REST-Vorgänge werden überwacht, und die Protokolle werden in den Systemprotokollen protokolliert.
    • Um Probleme zu beheben, die sich auf die offenen APIs beziehen, legen Sie die Protokollstufe für die apiservice-Komponente im Fenster Konfiguration des Debug-Protokolls auf DEBUG fest.
    • Um Probleme im Zusammenhang mit den ERS APIs zu beheben, legen Sie die Protokollstufe für die ers-Komponente im Fenster zur Konfiguration des Debug-Protokolls auf DEBUG fest. Um dieses Fenster anzuzeigen, navigieren Sie zur Cisco ISE-Benutzeroberfläche, klicken Sie auf das Menüsymbol und wählen Sie Vorgänge > Fehlerbehebung > Debug-Assistent > Debug-Protokollkonfiguration aus.
    • Sie können die Protokolle aus dem Fenster Download Logs (Protokolle herunterladen) herunterladen. Um dieses Fenster anzuzeigen, navigieren Sie zur Cisco ISE-GUI, klicken Sie auf das Menü-Symbol, und wählen Sie Operations > Troubleshoot > Download Logs.
    • Sie können entweder ein Support-Paket von der Registerkarte Support Bundle herunterladen, indem Sie auf die Schaltfläche Download unter der Registerkarte klicken, oder Sie laden die api-service-Debug-Protokolle von der Registerkarte Debug Logs herunter, indem Sie auf den Wert Log File (Protokolldatei) für das api-service-Debug-Protokoll klicken.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    28-Sep-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Andres Bolanos
      Cisco AAA Escalation Leader

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.