Introduzione
Questo documento descrive il processo per eliminare i dispositivi di accesso alla rete (NAD) su ISE tramite l'API ERS usando PostMan come client REST.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- ISE (Identity Services Engine)
- ERS (Servizi esterni di assistenza a terra)
- I clienti REST come Postman, RESTED, Insonnia, e così via.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software:
- Patch 6 per Cisco ISE (Identity Services Engine) 3.1
- Postman REST client v10.16
Nota: la procedura è simile o identica per altre versioni ISE e client REST. Se non specificato diversamente, è possibile eseguire la procedura seguente su tutte le versioni software ISE 2.x e 3.x.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Abilita ERS (porta 9060)
Le API ERS sono API REST solo HTTPS che operano sulla porta 443 e sulla porta 9060. La porta 9060 è chiusa per impostazione predefinita, quindi deve essere aperta per prima. Se i client che tentano di accedere a questa porta non attivano prima ERS, viene visualizzato un timeout del server. Pertanto, il primo requisito è abilitare ERS dall'interfaccia utente di amministrazione di Cisco ISE.
Passare a Amministrazione > Impostazioni > Impostazioni API e abilitare l'interruttore ERS (Read/Write).
Nota: le API ERS supportano TLS 1.1 e TLS 1.2. Le API ERS non supportano TLS 1.0, a prescindere dall'abilitazione di TLS 1.0 nella finestra Security Settings (Impostazioni di sicurezza) dell'interfaccia utente di Cisco ISE (Amministrazione > Sistema > Impostazioni > Impostazioni di sicurezza). L'attivazione di TLS 1.0 nella finestra Impostazioni protezione è correlata solo al protocollo EAP e non influisce sulle API ERS.
Nota: le operazioni di eliminazione di massa non sono supportate da ISE. L'eliminazione deve essere eseguita una alla volta.
Crea amministratore ERS
Creare un amministratore Cisco ISE, assegnare una password, quindi aggiungere un utente al gruppo amministrativo come amministratore ERS. È possibile lasciare vuota la parte restante della configurazione.
Imposta postino
Scarica o utilizza la versione online di Postman .
- Creare un utente e un workspace facendo clic su Crea workspace nella scheda Workspace.
2. Selezionare Spazio di lavoro vuoto e assegnare un nome al workspace. È possibile aggiungere una descrizione e renderla pubblica. Per questo esempio è selezionato Personale.
Una volta creata l'area di lavoro, è ora possibile configurare le chiamate API.
Ottieni nome e ID NAD
Prima di iniziare l'eliminazione dei NAD, è necessario conoscere il nome o l'ID del NAD. Il nome NAD può essere facilmente ottenuto dall'elenco NAD di ISE, ma l'ID è ottenibile solo da una chiamata all'API GET. La stessa chiamata API non restituisce solo l'ID NAD, ma anche il nome e la descrizione, se presenti, aggiunti durante la configurazione NAD.
Per configurare la chiamata a GET, accedere prima ad ISE ERS SDK (Software Developer Kit). Questo strumento compila l'intero elenco di chiamate API che ISE può eseguire:
- Passa a https://{ise-ip}/ers/sdk
- Eseguire il login utilizzando le credenziali ISE Admin.
- Espandere ora la documentazione API
- Scorrere verso il basso fino a individuare Periferica di rete e fare clic su di essa.
- Sotto questa opzione è ora possibile trovare tutte le operazioni disponibili che è possibile eseguire per i dispositivi di rete su ISE. Selezionare Get-All
6. È ora possibile visualizzare la configurazione richiesta per eseguire la chiamata API su qualsiasi client REST, nonché un esempio di risposta prevista.
7. Torna a Postman, configura l'autenticazione di base per ISE. Nella scheda Authorization (Autorizzazione), selezionare Basic Auth (Autenticazione di base) come tipo di autenticazione, quindi aggiungere le credenziali utente ISE ERS precedentemente create su ISE.
Nota: la password viene visualizzata come testo non crittografato a meno che non siano configurate variabili in Postman
8. Passare alla scheda Intestazioni e configurare le intestazioni necessarie per la chiamata API come mostrato nell'SDK. In questo esempio viene utilizzato JSON, ma è possibile utilizzare anche xml. Per questo esempio, la configurazione dell'intestazione deve essere simile alla seguente:
9. Eseguire la chiamata GET. Selezionare GET come metodo. Incollare https://{ISE-ip}/ers/config/networkdevice nel campo e fare clic su Invia. Se la configurazione è stata eseguita correttamente, è necessario visualizzare un messaggio di errore 200 Ok e il risultato.
TESTNAD1 e TESTNAD2 possono essere eliminati utilizzando 2 chiamate di eliminazione diverse.
Elimina NAD per ID
Eliminare TESTNAD1 utilizzando l'ID raccolto dalla chiamata GET.
1. Nell'SDK della scheda Dispositivo di rete selezionare Elimina. Come mostrato in precedenza, queste sono le intestazioni necessarie per eseguire la chiamata e la risposta prevista
2.Poiché le intestazioni sono simili alla chiamata GET e si sta eseguendo la chiamata DELETE sulla stessa ISE, duplicare la chiamata precedente e modificare le variabili necessarie. Al termine, la configurazione dell'intestazione deve essere simile alla seguente:
3. Eliminare TESTNAD1. Selezionare DELETE come metodo. Incollare https://{ISE-ip}/ers/config/networkdevice/{id} nel campo, sostituire {id} con l'ID effettivo del NAD rilevato dalla chiamata GET, quindi fare clic su Invia. Se tutti gli elementi sono stati configurati correttamente, è necessario visualizzare un messaggio 204 Nessun contenuto e il risultato è vuoto.
4. Confermare se il NAD è stato eliminato eseguendo di nuovo la chiamata a GET o controllando l'elenco ISE NAD. TESTNAD1 non esiste più.
Elimina NAD per nome
Eliminare TESTNAD2 utilizzando il nome raccolto dalla chiamata GET o dall'elenco NAD dell'interfaccia utente grafica di ISE.
- Nell'SDK della scheda Dispositivo di rete selezionare Elimina per nome. Come mostrato in precedenza, queste sono le intestazioni necessarie per eseguire la chiamata e la risposta prevista.
2. Poiché le intestazioni sono simili alla chiamata GET e si sta eseguendo la chiamata DELETE sulla stessa ISE, duplicare la chiamata precedente e modificare le variabili necessarie. Al termine, la configurazione dell'intestazione deve essere simile alla seguente:
3. Eliminare TESTAND2. Selezionare DELETE come metodo. Incollare https://{ISE-ip}/ers/config/networkdevice/name/{name} nel campo, sostituire {name} con il nome effettivo del NAD visualizzato dalla chiamata GET o dalla GUI ISE, quindi fare clic su Send. Se tutti gli elementi sono stati configurati correttamente, è necessario visualizzare un messaggio 204 Nessun contenuto e il risultato è vuoto.
4. Confermare se il NAD è stato eliminato eseguendo di nuovo la chiamata a GET o controllando l'elenco ISE NAD. TESTNAD2 non esiste più.
Verifica
Se è possibile accedere alla pagina dell'interfaccia utente del servizio API, ad esempio https://{iseip}:{port}/api/swagger-ui/index.html o https://{iseip}:9060/ers/sdk, significa che il servizio API funziona come previsto.
Risoluzione dei problemi
- Tutte le operazioni REST vengono controllate e i log vengono registrati nei log di sistema.
- Per risolvere i problemi relativi alle API aperte, impostare il livello di log per il componente apiservice su DEBUG nella finestra Configurazione log di debug.
- Per risolvere i problemi relativi alle API ERS, impostare il livello di log per il componente ers su DEBUG nella finestra Configurazione log di debug. Per visualizzare questa finestra, passare all'interfaccia grafica di Cisco ISE, fare clic sull'icona Menu e scegliere Operazioni > Risoluzione dei problemi > Debug guidato > Debug Log Configuration.
- È possibile scaricare i log dalla finestra Scarica log. Per visualizzare questa finestra, passare all'interfaccia utente di Cisco ISE, fare clic sull'icona Menu e scegliere Operazioni > Risoluzione dei problemi > Download log.
- È possibile scegliere di scaricare un bundle di supporto dalla scheda Support Bundle facendo clic sul pulsante Download nella scheda, oppure scaricare i log di debug api-service dalla scheda Debug Logs facendo clic sul valore Log File per il log di debug api-service.