はじめに
このドキュメントでは、インストール時にISEパッチとFAQをインストールする方法について説明します。
前提条件
要件
Identity Service Engine(ISE)に関する基礎知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Identity Service Engine 2.X
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
シスコでは、半定期的に ISE のパッチをリリースしています。これらのパッチには、バグ修正と、必要に応じたセキュリティ修正(SSLで発見されたHeartbleedやPoodleの脆弱性など)が含まれています。 これにより、バグ修正が適用され、セキュリティ上の脆弱性が取り込まれ、ソリューションがシームレスに機能するようになります。
ISEノードにパッチをインストールすると、ノードがリブートされます。インストールが完了したら、サービスを再起動します。再度ログインできるようになるまで数分待ちます。
メンテナンス時間帯にパッチをインストールするようにスケジュールすることで、一時的な機能停止を回避することができます。
ネットワークに導入されているシスコのバージョンに該当するパッチのみをインストールしてください。Cisco は、パッチファイルのバージョンの不一致とあらゆるエラーをレポートします。
シスコに現在インストールされているパッチよりも低いバージョンのパッチはインストールできません。同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco にインストール済みの場合は、ロールバックはできません。
分散導入の一部である Primary Administration Node (PAN)
からパッチをインストールする場合、Cisco ISEはパッチをプライマリノードにインストールしてから、導入環境内のすべてのセカンダリノードにインストールします。 PANへのパッチインストールが正常に完了すると、Cisco ISEはセカンダリノードへのパッチインストールを続行します。PANで障害が発生した場合、インストールはセカンダリノードに進みません。 ただし、何らかの理由でセカンダリノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリノードでインストールが実行されます。
2ノード展開の一部であるパッチをPANからインストールする場合、シスコはプライマリノードにパッチをインストールしてから、セカンダリノードにパッチをインストールします。
PANへのパッチのインストールが成功した場合、シスコはセカンダリノードへのパッチのインストールを続行します。PANで障害が発生した場合、インストールはセカンダリノードに進みません。
パッチのインストールまたはロールバックには、スーパー管理者またはシステム管理者の管理者ロールが必要です。パッチインストールを開始する前に、設定バックアップと運用バックアップを収集します。
GUIを使用したパッチインストール
ISEパッチをCisco.comからダウンロードするには、 Downloads > Products > Security > Access Control and Policy > Identity Services Engine > Identity Services Engine Software
(ここ)に移動します。
注:Cisco ISEのパッチは通常累積されます。つまり、パッチ11のインストールには、パッチ1からパッチ10までのすべてのパッチが含まれます。パッチをインストールするには、ISEサーバをリブートする必要があります。
注:パッチファイルのダウンロード後にMD5/SHA512チェックサムを確認します。
ISEにパッチを適用するには、ISE Primary Administration Node (PAN)
のGUIにログインし、次の手順を実行します。
ステップ 1:移動先: Administration > System > Maintenance > Patch Management > Install.
ステップ 2: Browse
をクリックし、Cisco.comからダウンロードしたパッチファイルを選択します。
ステップ 3:「 Install
」をクリックしてパッチをインストールします。
CLIを使用したパッチインストール
ステップ 1:ISEリポジトリを設定し、必要なISEパッチをリポジトリに配置します。ISE リポジトリを設定するには、『How to Configure Repository on ISE』を参照してください。
ステップ 2:SSHを使用してISE CLIにログインします。
ステップ 3:ISE CLIがリポジトリの内容をリストできることを確認します。
ISE/admin# show repository FTP_repository
ise-patchbundle-10.2.0.7-Patch6-19021923.SPA.x86_64.tar.gz
ise-patchbundle-10.2.0.7-Patch9-19062923.SPA.x86_64.tar.gz
ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz
ステップ 4:CLIから特定のISEノードにパッチをインストールするには、EXECモードで patch install
コマンドを実行します。
Patch install
SSH を介して ISE ノードの CLI にログインし、次のコマンドを実行します。
ISE/admin#patch install ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch installs only on this node. Install with Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Save the current ADE-OS run configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS run Configuration to startup successfully
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
patch successfully installed
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload lasts approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
導入環境内のすべてのISEノードにパッチをインストールする方法
分散導入の一部であるPANからパッチをインストールすると、Cisco ISEはパッチをプライマリノードにインストールしてから、導入環境内のすべてのセカンダリノードにインストールします。 パッチのインストールがプライマリ PAN で成功すると、Cisco ISE はセカンダリノードでパッチのインストールを続行します。PANで障害が発生した場合、インストールはセカンダリノードに進みません。
ただし、何らかの理由でセカンダリノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリノードでインストールが実行されます。
導入環境内のすべてのISEノードでパッチをロールバックする方法
展開の Cisco ISE ノードからパッチをロールバックするには、最初に PAN から変更をロールバックします。これに成功すると、セカンダリノードからパッチがロールバックされます。PAN でロールバックプロセスが失敗した場合は、セカンダリノードからのパッチロールバックは行われません。 ただし、いずれかのセカンダリノードでパッチのロールバックが失敗しても、展開内の次のセカンダリノードからのパッチのロールバックは継続されます。
Cisco ISE によるセカンダリノードからのパッチロールバックが進行中のときも、引き続き PAN GUI から他のタスクを実行できます。 ロールバック後にセカンダリノードが再起動します。
ISEパッチをロールバックするには、にログインし ISE GUI
、 Administration > System > Maintenance > Patch Management
に移動して必要なパッチを選択し、次に示すようにク Rollback,
リックします。
ISE CLIからのパッチのロールバック方法
ステップ 1: パッチを削除するISEノードにSSHで接続します。
ステップ 2:次のコマンドを使用して、ISEノードにインストールされたパッチを確認します Show Version
ISE/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 00:45:06 2019
Install Date : Mon Sep 30 12:17:29 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Oct 01 01:30:12 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 3
Install Date : Tue Mar 24 05:35:19 2020
ステップ 3: patch remove
コマンドを実行します。
例:- patch remove ise 2
ISE/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Patch successfully uninstalled
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
注:ISEパッチは本質的に累積的なものであり、新しいバージョンが存在する間はロールバックできません。新しいバージョンでは、最初にロールバックする必要があります。
以前のパッチをアンインストールするには、最初に最新のパッチをアンインストールし、次に以前のパッチバージョンをアンインストールします。
ISE/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.
確認
ISEパッチインストールの進捗状況を表示するには、図に示すように、 Administration > System > Maintenance > Patch Management > Show Node Status
に移動します。
ISEノードからパッチインストールのステータスを確認します。同じISEサーバにログインし、コマンドを実行します。 Show Version
ISE1/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 06:15:06 2019
Install Date : Thu Nov 21 16:39:02 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Thu Apr 02 11:00:08 2020
ISE1/admin#
ISEアラームで、成功および失敗したパッチメッセージを確認します。
パッチのインストールが成功したログの参照情報
isea/admin# sh logging system ade/ADE.log tail
2020-04-19T15:38:01.634794+05:30 isea ADEOSJAVAAPI[26999]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=kopriadm, cause=Application patch install has been inititated, adminipaddress=10.65.80.116, interface=GUI,
detail=Patch Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinstallrepo
2020-04-19T15:38:01.635194+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[796] [test]: Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinsta
llrepo
2020-04-19T15:38:01.784100+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[913] [test]: Stage area - /storeddata/Install/.1587290881
2020-04-19T15:38:01.827925+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[918] [test]: Getting bundle to local machine
2020-04-19T15:38:01.829562+05:30 isea ADE-SERVICE[1158]: [26999]:[error] config:repository: rm_repos_cfg.c[552] [test]: server not found in url
2020-04-19T15:38:01.830656+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer.c[66] [test]: local copy in of ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz requested
2020-04-19T15:38:02.873630+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer_util.c[2293] [test]: Properties file /tmp/.cars_repodownload.props exists need to cleanup after a SIGNAL or download complete
2020-04-19T15:38:03.247065+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[954] [test]: Got bundle at - /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:03.247424+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1002] [test]: Unbundling package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:09.066295+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1064] [test]: Verifying signature for package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:13.171615+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1073] [test]: Signed bundle /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz confirme
d with release key
2020-04-19T15:38:18.816986+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1166] [test]: Unbundling done. Verifying input parameters...
2020-04-19T15:38:18.877267+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1195] [test]: Manifest file is at - /storeddata/Install/.1587290881/manifest.xml
2020-04-19T15:38:18.877604+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1234] [test]: Manifest file appname - ise
2020-04-19T15:38:18.878051+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1286] [test]: Patch bundle contains patch(3) for app version(10.1.0.0)
2020-04-19T15:38:18.878254+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install ci_util.c[305] [test]: Comparing installed app version:(10.1.0.0) and version of app the patch is meant for:(10.1.0.0)
2020-04-19T15:38:18.878517+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1321] [test]: Manifest file pkgtype - CARS
2020-04-19T15:38:18.878712+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1735] [test]: Verifying zip...
2020-04-19T15:38:27.006433+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1796] [test]: Executing patch install script patchinstall.sh from patch.zip
2020-04-19T15:38:27.209692+05:30 isea test: info:[patchinstall.sh] START PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Install/.1587290881 INSTALLDIRS:
2020-04-19T15:38:27.211274+05:30 isea test: info:[patchinstall.sh] NEW PATCH VER: 3 PRIOR PATCH VER: 0
2020-04-19T15:38:27.213166+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Begin
2020-04-19T15:38:27.214840+05:30 isea test: info:[patchinstall.sh] Remove IRF-Rabbitmq container
2020-04-19T15:38:27.753502+05:30 isea test: info:[patchinstall.sh] IRF-Rabbitmq container id -
2020-04-19T15:38:27.755172+05:30 isea test: info:[patchinstall.sh] No IRF-Rabbitmq container exist to remove.\n
2020-04-19T15:38:27.756631+05:30 isea test: info:[patchinstall.sh] Remove IRF-Core-Engine container
2020-04-19T15:38:27.781127+05:30 isea test: info:[patchinstall.sh] IRF-Core-Engine container id -
2020-04-19T15:38:27.783028+05:30 isea test: info:[patchinstall.sh] No IRF-Core-Engine container exist to remove.\n
2020-04-19T15:38:27.784724+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Completed
2020-04-19T15:38:33.077501+05:30 isea test: info:[application:operation:cpmcontrol.sh] In Stop Monit
2020-04-19T15:38:33.197734+05:30 isea test: Monit daemon with pid [12796] killed
2020-04-19T15:38:34.289656+05:30 isea test: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2020-04-19T15:38:34.671998+05:30 isea ADEOSShell[28278]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2020-04-19T15:38:43.621160+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2020-04-19T15:38:43.657769+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2020-04-19T15:38:43.989085+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2020-04-19T15:38:44.019674+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2020-04-19T15:38:44.367442+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2020-04-19T15:38:44.400103+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2020-04-19T15:38:44.713844+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2020-04-19T15:38:44.753547+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2020-04-19T15:38:46.166418+05:30 isea test: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2020-04-19T15:38:46.168374+05:30 isea ADEOSShell[29231]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2020-04-19T15:41:37.224949+05:30 isea test: info:[patchinstall.sh] ISE 10.1.0.0 patch 3 installFileSystem() INVOKED
2020-04-19T15:41:37.245321+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/xde/xdeRuntime/packages/std/WorkflowsProject.xar
2020-04-19T15:41:37.251672+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/bin/ctl/radius_auth.ctl
2020-04-19T15:41:37.258874+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Audit/Internal-Administrator-Summary.xml
2020-04-19T15:41:37.265939+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Endpoint.xml
2020-04-19T15:41:37.273866+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Condition.xml
2020-04-19T15:41:37.280143+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/mnt-collection.jar
2020-04-19T15:41:37.288008+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/libJniCollector.so
2020-04-19T15:41:37.295128+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libapr-1.a
2020-04-19T15:41:37.302031+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libtcnative-1.a
2020-04-19T15:41:37.308615+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/webapps/ocsp-responder-webapp/WEB-INF/lib/import-export-2.6
.0-156.jar
Broadcast message from root@isea (Sun Apr 19 15:50:40 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@isea (Sun Apr 19 15:51:01 2020):
The system is going down for reboot NOW
Session terminated, killing shell... ...killed.