Rimuovere i dispositivi di rete ISE usando l'API ERS

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.4 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:28 settembre 2023
ID documento:220992

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il processo per eliminare i dispositivi di accesso alla rete (NAD) su ISE tramite l'API ERS usando PostMan come client REST. 

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • ISE (Identity Services Engine)
    • ERS (Servizi esterni di assistenza a terra)
    • I clienti REST come Postman, RESTED, Insonnia, e così via.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • Patch 6 per Cisco ISE (Identity Services Engine) 3.1
    • Postman REST client v10.16
    note-icon

    Nota: la procedura è simile o identica per altre versioni ISE e client REST. Se non specificato diversamente, è possibile eseguire la procedura seguente su tutte le versioni software ISE 2.x e 3.x.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Abilita ERS (porta 9060)

    Le API ERS sono API REST solo HTTPS che operano sulla porta 443 e sulla porta 9060. La porta 9060 è chiusa per impostazione predefinita, quindi deve essere aperta per prima. Se i client che tentano di accedere a questa porta non attivano prima ERS, viene visualizzato un timeout del server. Pertanto, il primo requisito è abilitare ERS dall'interfaccia utente di amministrazione di Cisco ISE.

    Passare a Amministrazione > Impostazioni > Impostazioni API e abilitare l'interruttore ERS (Read/Write).

    Abilita ERS

    note-icon

    Nota: le API ERS supportano TLS 1.1 e TLS 1.2. Le API ERS non supportano TLS 1.0, a prescindere dall'abilitazione di TLS 1.0 nella finestra Security Settings (Impostazioni di sicurezza) dell'interfaccia utente di Cisco ISE (Amministrazione > Sistema > Impostazioni > Impostazioni di sicurezza). L'attivazione di TLS 1.0 nella finestra Impostazioni protezione è correlata solo al protocollo EAP e non influisce sulle API ERS.

    note-icon

    Nota: le operazioni di eliminazione di massa non sono supportate da ISE. L'eliminazione deve essere eseguita una alla volta.

    Crea amministratore ERS

    Creare un amministratore Cisco ISE, assegnare una password, quindi aggiungere un utente al gruppo amministrativo come amministratore ERS. È possibile lasciare vuota la parte restante della configurazione.

    Creazione utente ERS

    Imposta postino

    Scarica o utilizza la versione online di Postman .

    1. Creare un utente e un workspace facendo clic su Crea workspace nella scheda Workspace.

    Crea area di lavoro postino

    2. Selezionare Spazio di lavoro vuoto e assegnare un nome al workspace. È possibile aggiungere una descrizione e renderla pubblica. Per questo esempio è selezionato Personale.

    Crea nome area di lavoro e tipo di accesso

    Una volta creata l'area di lavoro, è ora possibile configurare le chiamate API.

    Ottieni nome e ID NAD

    Prima di iniziare l'eliminazione dei NAD, è necessario conoscere il nome o l'ID del NAD. Il nome NAD può essere facilmente ottenuto dall'elenco NAD di ISE, ma l'ID è ottenibile solo da una chiamata all'API GET. La stessa chiamata API non restituisce solo l'ID NAD, ma anche il nome e la descrizione, se presenti, aggiunti durante la configurazione NAD.  

    Per configurare la chiamata a GET, accedere prima ad ISE ERS SDK (Software Developer Kit). Questo strumento compila l'intero elenco di chiamate API che ISE può eseguire:

    1. Passa a https://{ise-ip}/ers/sdk
    2. Eseguire il login utilizzando le credenziali ISE Admin.
    3. Espandere ora la documentazione API
    4. Scorrere verso il basso fino a individuare Periferica di rete e fare clic su di essa.
    5. Sotto questa opzione è ora possibile trovare tutte le operazioni disponibili che è possibile eseguire per i dispositivi di rete su ISE. Selezionare Get-All

    Passa alla documentazione dell'API

    6. È ora possibile visualizzare la configurazione richiesta per eseguire la chiamata API su qualsiasi client REST, nonché un esempio di risposta prevista.

    Dettagli API

    7. Torna a Postman, configura l'autenticazione di base per ISE. Nella scheda Authorization (Autorizzazione), selezionare Basic Auth (Autenticazione di base) come tipo di autenticazione, quindi aggiungere le credenziali utente ISE ERS precedentemente create su ISE.

    note-icon

    Nota: la password viene visualizzata come testo non crittografato a meno che non siano configurate variabili in Postman

    Configura autorizzazione di base

    8. Passare alla scheda Intestazioni e configurare le intestazioni necessarie per la chiamata API come mostrato nell'SDK. In questo esempio viene utilizzato JSON, ma è possibile utilizzare anche xml. Per questo esempio, la configurazione dell'intestazione deve essere simile alla seguente:

    Configurazione intestazione

    9. Eseguire la chiamata GET. Selezionare GET come metodo. Incollare https://{ISE-ip}/ers/config/networkdevice nel campo e fare clic su Invia. Se la configurazione è stata eseguita correttamente, è necessario visualizzare un messaggio di errore 200 Ok e il risultato.

    TESTNAD1 e TESTNAD2 possono essere eliminati utilizzando 2 chiamate di eliminazione diverse.

    Risultati API GET

    Elimina NAD per ID

    Eliminare TESTNAD1 utilizzando l'ID raccolto dalla chiamata GET.

    1. Nell'SDK della scheda Dispositivo di rete selezionare Elimina. Come mostrato in precedenza, queste sono le intestazioni necessarie per eseguire la chiamata e la risposta prevista

    Dettagli API

    2.Poiché le intestazioni sono simili alla chiamata GET e si sta eseguendo la chiamata DELETE sulla stessa ISE, duplicare la chiamata precedente e modificare le variabili necessarie. Al termine, la configurazione dell'intestazione deve essere simile alla seguente:

    Configurazione intestazione

    3. Eliminare TESTNAD1. Selezionare DELETE come metodo. Incollare https://{ISE-ip}/ers/config/networkdevice/{id} nel campo, sostituire {id} con l'ID effettivo del NAD rilevato dalla chiamata GET, quindi fare clic su Invia. Se tutti gli elementi sono stati configurati correttamente, è necessario visualizzare un messaggio 204 Nessun contenuto e il risultato è vuoto.  

    Risultati eliminazione API

    4. Confermare se il NAD è stato eliminato eseguendo di nuovo la chiamata a GET o controllando l'elenco ISE NAD. TESTNAD1 non esiste più. 

    Risultati API GET

    Convalida GUI ISE

    Elimina NAD per nome

    Eliminare TESTNAD2 utilizzando il nome raccolto dalla chiamata GET o dall'elenco NAD dell'interfaccia utente grafica di ISE.

    1. Nell'SDK della scheda Dispositivo di rete selezionare Elimina per nome. Come mostrato in precedenza, queste sono le intestazioni necessarie per eseguire la chiamata e la risposta prevista.

    Dettagli API

    2. Poiché le intestazioni sono simili alla chiamata GET e si sta eseguendo la chiamata DELETE sulla stessa ISE, duplicare la chiamata precedente e modificare le variabili necessarie. Al termine, la configurazione dell'intestazione deve essere simile alla seguente:

    Configurazione intestazione

    3. Eliminare TESTAND2. Selezionare DELETE come metodo. Incollare https://{ISE-ip}/ers/config/networkdevice/name/{name} nel campo, sostituire {name} con il nome effettivo del NAD visualizzato dalla chiamata GET o dalla GUI ISE, quindi fare clic su Send. Se tutti gli elementi sono stati configurati correttamente, è necessario visualizzare un messaggio 204 Nessun contenuto e il risultato è vuoto.  

    Risultati eliminazione API

    4. Confermare se il NAD è stato eliminato eseguendo di nuovo la chiamata a GET o controllando l'elenco ISE NAD. TESTNAD2 non esiste più.

    Risultati API GET

    Convalida GUI ISE

    Verifica

     Se è possibile accedere alla pagina dell'interfaccia utente del servizio API, ad esempio https://{iseip}:{port}/api/swagger-ui/index.html o https://{iseip}:9060/ers/sdk, significa che il servizio API funziona come previsto.

    Risoluzione dei problemi

    • Tutte le operazioni REST vengono controllate e i log vengono registrati nei log di sistema.
    • Per risolvere i problemi relativi alle API aperte, impostare il livello di log per il componente apiservice su DEBUG nella finestra Configurazione log di debug.
    • Per risolvere i problemi relativi alle API ERS, impostare il livello di log per il componente ers su DEBUG nella finestra Configurazione log di debug. Per visualizzare questa finestra, passare all'interfaccia grafica di Cisco ISE, fare clic sull'icona Menu e scegliere Operazioni > Risoluzione dei problemi > Debug guidato > Debug Log Configuration.
    • È possibile scaricare i log dalla finestra Scarica log. Per visualizzare questa finestra, passare all'interfaccia utente di Cisco ISE, fare clic sull'icona Menu e scegliere Operazioni > Risoluzione dei problemi > Download log.
    • È possibile scegliere di scaricare un bundle di supporto dalla scheda Support Bundle facendo clic sul pulsante Download nella scheda, oppure scaricare i log di debug api-service dalla scheda Debug Logs facendo clic sul valore Log File per il log di debug api-service.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    28-Sep-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Andres Bolanos
      Cisco AAA Escalation Leader

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti