Prem에서 CSSM 구성 및 ISE에 라이센스 등록

다운로드 옵션

  • PDF     (5.3 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (5.3 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (3.8 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 7월 25일
문서 ID:222207

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 CSSM On-Prem과 Cisco ISE(Identity Service Engine)Cisco Smart Account 통합을 설명하여 원활한 설정을 보장합니다.

    사전 요구 사항

    요구 사항

    ISE 3.X

    CSSM(Cisco Smart Software Manager) 버전 8 릴리스 202304 +

    사용되는 구성 요소

    • Identity Service Engine 3.2 패치 2
    • Prem 8.20234의 SSM
    • Windows Active Directory 2016(DNSCertificate Authority 서비스)
    • VMWare ESXi 버전 7

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    네트워크 다이어그램

    일반 토폴로지일반 토폴로지

    VMWARE ESXi에 CSSM 온프레미스(On-Prem) 설치

    1. Cisco IOS®를 다운로드합니다. 다음 링크를 사용할 수 있습니다. https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. VMWARE ESXi에서 ISO를 업로드합니다.

    Storage(스토리지) > Datastore Browser(데이터 저장소 브라우저)로 이동합니다.

    데이터 브라우저 섹션데이터 브라우저 섹션

    3. 디렉토리 생성을 눌러 새 폴더를 생성합니다(선택사항).

    디렉토리 생성디렉토리 생성

    이 예에서는 CSSM 폴더를 만들었습니다.

    폴더 생성폴더 생성

    4. 업로드를 클릭한 다음 ISO 파일을 선택합니다.

    ISO 업로드ISO 업로드

    이제 ISO 파일이 CSSM 폴더에 있습니다.

    ISO 업로드가 완료되었습니다.ISO 업로드가 완료되었습니다.

    5. 가상 머신을 생성합니다. 가상 머신 > VM 생성/등록으로 이동합니다.

    새 VM 생성 01단계새 VM 생성 01단계

    6. [새 가상 머신 생성]을 선택하고 [다음]을 클릭합니다.

    새 VM 생성 02단계새 VM 생성 02단계

    7. 다음 매개변수를 구성합니다.

    • 이름: 가상 머신의 이름을 입력합니다.
    • 호환성: ESXi 6.0 이상 또는 ESXi 6.5 이상을 선택합니다. 
    • 게스트 OS 제품군: Linux.
    • 게스트 OS 버전: CentOS 7(64비트) 또는 기타 2.6x Linux(64비트) 선택

    Next(다음)를 클릭합니다.

    VM 이름 및 IOSVM 이름 및 IOS

    8. 스토리지를 선택하고 다음 을 클릭합니다.

    저장소 목록저장소 목록

    9. 다음 매개변수를 구성합니다.

    • CPU: 최소 4개. 실제 vCPU 설정은 확장 요구 사항에 따라 달라집니다
    note-icon

    참고: 선택한 가상 소켓의 수와 상관없이 소켓당 코어 수를 1로 설정해야 합니다. 예를 들어, 4 vCPU 컨피그레이션은 소켓당 4소켓 및 1코어로 구성해야 합니다.

    코어 컨피그레이션코어 컨피그레이션

    • 메모리: 8GB
    • 하드 디스크: 200GB 및 프로비저닝이 씬 프로비저닝으로 설정되어 있는지 확인합니다.

    디스크 컨피그레이션디스크 컨피그레이션

    • 네트워크 어댑터: E1000 어댑터 유형을 선택하고 Connect at Power On을 선택합니다.

    네트워크 설정 컨피그레이션네트워크 설정 컨피그레이션

    • CD / DVD 드라이브: "Data ISO file"을 선택하고 ISO 파일을 선택합니다.

    ISO 이미지ISO 이미지

    이전 단계를 완료한 후 설정 요약을 확인할 수 있습니다.

    요약 VM 컨피그레이션 01요약 VM 컨피그레이션 01

    Next(다음)를 클릭합니다.

    10. 완료를 클릭합니다.

    요약 VM 구성 02요약 VM 구성 02

    CSSM 온프레미스의 초기 컨피그레이션

    1. VMWARE ESXi에서 Virtual Machines(가상 머신)로 이동하여 VM을 선택한 다음 Power On(전원 켜기)을 클릭합니다.

    전원 켜기 옵션전원 켜기 옵션

    1. VM 콘솔을 관리할 수 있는 여러 옵션이 있습니다. Console(콘솔) > Open browser console(브라우저 콘솔 열기)을 선택합니다.

    VM 관리 옵션VM 관리 옵션

    1. 네트워크 설정을 구성합니다.
    note-icon

    참고: CSSM FQDN을 확인하는 DNS 서버 IP 주소를 구성하는 것이 중요합니다.

    CSSM 네트워크 설정 컨피그레이션CSSM 네트워크 설정 컨피그레이션

    CLI 비밀번호를 구성하려면 OK(확인)를 클릭합니다.

    1. 그러면 설치 프로세스가 시작되고 액세스 프롬프트가 표시될 때까지 종료됩니다.

    CSSM 초기 컨피그레이션 완료CSSM 초기 컨피그레이션 완료

    1. 브라우저를 열고 https:// <ip_address_CSSM>을 입력합니다.

    CSSM 로그인 페이지CSSM 로그인 페이지

    기본 자격 증명 사용:

    사용자 이름: admin

    비밀번호: CiscoAdmin!2345

    1. 언어를 선택합니다.
    2. GUI 비밀번호를 생성합니다.
    3. 호스트 CN을 구성합니다. (예: hostname.yourdomain).

    이 경우 cssm.testlab.local은 호스트 CN으로 구성되었습니다.

    호스트 CN 컨피그레이션호스트 CN 컨피그레이션

    1. 컨피그레이션을 검증하고 Apply를 클릭합니다.

    CSSM 초기 설정 완료CSSM 초기 설정이 완료되었습니다.

    Smart Account와 CSSM 온프레미스 통합

    Smart Account를 Prem Server의 CSSM연결해야 합니다.

    1. 다음 링크를 사용하여 Cisco Smart Account를 엽니다.

    https://software.cisco.com/

    1. 그런 다음 Smart Software Manager 섹션에서 Manage Licenses(라이센스 관리)를 선택합니다.
    라이센스 관리 옵션라이센스 관리 옵션
    1. Inventory(인벤토리)로 이동하여 Smart Account 이름Virtual Account의 이름을 복사합니다. 이 가이드에서는 InternalTestDemoAccount67 및 AAA MEX TEST를 다룹니다.

    소프트웨어 Cisco 페이지소프트웨어 Cisco 페이지

    1. CSSM GUI를 열고 Admin Workspace(관리 작업 공간) 옵션을 선택합니다.

    기본 CSSM 메뉴기본 CSSM 메뉴.

    1. 그런 다음 Accounts를 선택합니다.

    CSSM 어카운트어카운트.

    1. 새 등록 요청을 생성하려면 New Account(새 어카운트)를 선택합니다.

    CSSM 어카운트 생성CSSM 어카운트 생성

    1. 다음 정보를 입력합니다.
    • 계정 이름: 새 등록부의 사용자 지정 이름입니다.
    • Cisco Smart Account: Smart Account 이름을 붙여넣습니다.
    • Cisco Virtual Account: Virtual Account 이름을 붙여넣습니다.
    • 알림 전자메일: 전자메일을 입력합니다.

    계정 등록계정 등록.

    Submit(제출)을 클릭합니다.

    1. 그런 다음 Account Requests(어카운트 요청) 클릭합니다.

    이 섹션의 이전 단계에서 수행한 요청을 확인할 수 있습니다.

    계정 요청.계정 요청.

    1. Actions(작업)를 클릭합니다.

    작업 옵션작업 옵션.

    세 가지 옵션이 있습니다.

    • 승인: 인터넷을 통해 CSSM 온프레미스(On-Prem)를 Smart Account에 등록하려면 이 옵션을 사용합니다.
    • 거부: 요청을 삭제합니다.
    • 수동 등록: 이 옵션을 사용하여 인터넷 없이 Smart Account에 CSSM 온프레미스(On-Prem)를 등록합니다.

     옵션 1: 인터넷 연결을 통해 CSSM 온프레미스 등록

    1. Approve(승인)를 선택한 경우 Cisco Smart Account의 사용자 이름과 비밀번호를 입력하고 Submit(제출)을 클릭해야 합니다.

    승인 옵션승인 옵션.

    그런 다음 다음을 클릭하여 계정 등록을 수락합니다.

    계정 등록계정 등록.

    등록 상태를 확인하려면 Account(계정)로 이동하고 Account(계정) 상태가 Active(활성)여야 합니다.

    계정 상태계정 상태.

    이제 Smart Account를 엽니다(https://software.cisco.com/). 그런 다음 On-Prem Accounts(온프레미스 어카운트) 옵션을 선택하여 새 등록을 확인합니다.

    Prem 어카운트Prem 어카운트

    옵션 2: 인터넷 연결 없이 CSSM 온프레미스 등록

    Manual Registration(수동 등록)을 선택한 경우 Generate Registration File(등록 파일 생성)을 클릭합니다. 이렇게 하면 컴퓨터에 다운로드할 등록 요청이 생성됩니다.

    수동 등록.수동 등록.

    그런 다음 Smart Account(https://software.cisco.com/)를 열고 온프레미스 어카운트로 이동합니다.

    온프레미스 클릭

    새 온프레미스 추가새 온프레미스 추가

    그런 다음 다음 매개변수를 구성합니다.

    • 온프레미스 이름: 새 레지스터의 사용자 지정 이름입니다.
    • 등록 파일: Choose File(파일 선택)을 클릭하고 Registration Request(등록 요청)를 선택합니다.
    • Virtual Account(가상 어카운트): 가상 어카운트 이름을 붙여넣습니다.

    권한 부여 파일.권한 부여 파일.

    Generate Authorization File(권한 부여 파일 생성)을 클릭합니다.

    그런 다음 권한 부여 파일을 다운로드합니다.

    권한 부여 파일 다운로드 중권한 부여 파일을 다운로드하는 중입니다.

    CSSM GUI를 열어 권한 부여 파일 업로드합니다. Browse(찾아보기)를 클릭하고 파일을 선택한 다음 Upload(업로드)를 클릭합니다.

    권한 부여 파일을 업로드하는 중입니다.권한 부여 파일을 업로드하는 중입니다.

    그런 다음 Synchronization(동기화)으로 이동하고 Actions(작업) > Manual Synchronization(수동 동기화) > Full Synchronization(전체 동기화)을 클릭합니다.

    수동 동기화.수동 동기화.

    동기화 요청 파일 다운로드합니다.

    파일 동기화 다운로드 중파일 동기화를 다운로드하는 중입니다.

    Smart Account를 열고 On-Prem Account를 선택한 다음 목록에서 CSSM On-Prem 이름을 찾고 Actions(작업) > File Sync(파일 동기화)를 클릭합니다.

    파일 동기화 업로드 중파일 동기화를 업로드하는 중입니다.

    그런 다음 Sync 요청 파일을 업로드하고 Generate Response File(응답 파일 생성)을 클릭합니다.

    응답 파일 생성응답 파일을 생성합니다.

    그런 다음 Download Synch Response File(동기화 응답 파일 다운로드)을 클릭합니다

    파일 동기화파일 동기화.

    마지막으로, CSSM on Premise에서 동기화 응답 파일을 업로드합니다.

    동기화 완료동기화가 완료되었습니다.

     CSSM On-Prem을 ISE와 통합합니다.

    1. CSSM GUI를 열고 Admin Workspace를 선택합니다.

    기본 CSSM 메뉴.기본 CSSM 메뉴.

    1. Security(보안) > Certificates(인증서) > Generate CSR(CSR 생성)로 이동합니다.
    note-icon

    참고: ISE는 CSSM과의 연결을 설정하기 위해 이 매개변수를 사용하므로 호스트 일반 이름에 호스트 이름 + 도메인을 구성해야 합니다. 호스트 이름 + 도메인 대신 IP 주소를 사용할 수 있지만 권장 사항은 호스트 이름 + 도메인을 사용하는 것입니다

    note-icon

    참고: 다음 단계에서는 CSSM에 GUI 인증서를 설치하는 절차에 대해 설명합니다. 개인 CA(인증 기관)에서 서명한 인증서를 사용하여 GUI CSSM에 대한 관리 연결을 보호하려면 다음 단계를 확인해야 합니다. 그렇지 않은 경우 9단계를 직접 선택합니다.

    CSR 옵션CSR 옵션

    1. 그런 다음 개인 정보를 입력합니다. Subject Alternative Name Common Name과 동일한 값을 사용하여 자동으로 생성됩니다. CSR Generate(생성)를 클릭하면 자동으로 다운로드됩니다.

    CSR 세부 정보CSR 세부 정보.

    1. CSR에 서명: 자세한 내용은 이 문서에서 "Create certificates from Windows CA."를 참조하십시오.
    1. 루트 CA 인증서 업로드합니다.

    루트 CA 업로드루트 CA 업로드 중.

    Proceed(진행)를 클릭합니다.

    Proceed(진행) 옵션Proceed(진행) 옵션을 선택합니다.

    1. 설명을 입력 하고 루트 인증서를 선택 하고 확인을 클릭 합니다.

    설명 루트 CA설명 루트 CA.

    1. CA에서 서명한 CSR(CSSM Identity Certificate)을 업로드합니다.

    CSSM ID 인증서 업로드CSSM ID 인증서 업로드 중

    note-icon

    참고: 참고: 여기서는 중간 인증서가 CA에 없습니다. 그러나 아키텍처에서 중간 인증서를 사용하는 경우 중간 인증서는 필수입니다.

    8. 그런 다음 두 인증서가 모두 설치되었는지 확인합니다.

    인증서 검증인증서 검증.

    1. SSM 온프레미스에서 토큰 만들기: Licensing Workspace를 선택합니다.

    Workspace 페이지Workspace 페이지

    1. Smart Licensing으로 이동합니다.

    CSSM Smart Licensing 페이지CSSM Smart Licensing 페이지

    1. 로컬 가상 어카운트를 찾은 다음 New Token(새 토큰)을 클릭하고 Proceed(진행)를 클릭합니다.

    새 토큰 옵션새 토큰 옵션.

    1. Create Token(토큰 생성)을 선택하고 복사합니다.

    새 토큰 생성새 토큰을 만듭니다.

    토큰 세부 정보토큰 세부 정보.

    1. ISE GUI를 열고 Administration(관리) > Systems(시스템) > Licensing(라이센싱)으로 이동한 다음 Registration details(등록 세부사항)를 클릭하고 SSM On-Prem 서버 호스트 방법을 선택한 다음 토큰을 붙여넣습니다.

    라이센스 등록라이센스 등록.

    1. SSM 온프레미스 서버 호스트 SSM 온프레미스 FQDN을 입력하고 Register(등록) 클릭합니다.

    CSSM 및 ISE 설정CSSM 및 ISE 설정

    note-icon

    참고: ISE는 CSSM과의 연결을 설정하기 위해 이 매개변수를 사용하므로 호스트 이름 + 도메인호스트 공용 이름에 구성해야 합니다. 호스트 이름 + 도메인 대신 IP 주소를 사용할 수 있지만 권장 사항은 호스트 이름 + 도메인을 사용하는 것입니다

    1. 그리고 마지막으로 등록이 완료되었습니다.

    등록 완료등록이 완료되었습니다.

     Windows CA에서 인증서를 만듭니다.

    인증 기관의 관리자인 경우 다음을 수행해야 합니다.

    1. 웹 브라우저를 열고 http://localhost/certsrv/으로 이동합니다.
    2. Request a certificate(인증서 요청)를 클릭합니다.

    인증서 요청인증서를 요청합니다.

    1. 고급 인증서 요청 클릭합니다.

    고급 인증서 요청고급 인증서 요청

    1. 이전에 생성한 CSR을 엽니다.  그런 다음 정보를 복사하여 저장된 요청에 붙여넣습니다.

    인증서 제출인증서 제출

    Submit the certificate(인증서 제출)를 클릭하면 인증서가 자동으로 다운로드됩니다.

    1. 이제 CA 인증서 루트를 다운로드합니다. 다시 http://localhost/certsrv/으로 이동하고 Download a CA Certificate, Certificate Chain 또는 CRL을 선택합니다.

    루트 CA 다운로드루트 CA 다운로드

    1. Base64로 인코딩 방법을 사용하여 CA 인증서를 다운로드합니다.

    Base 64 옵션Base 64 옵션.

    Windows Server에서 DNS 레코드를 추가합니다.

    관리자인 경우 ISE 및 CSSM FQDN을 추가합니다.

    1. DNS Manager를 엽니다. Windows Finder에 "DNS"를 입력하고 DNS 앱을 엽니다.

    DNS 옵션DNS 옵션.

    1. Forward Lookup Zones(정방향 조회 영역) > And choose your domain(도메인을 선택합니다.

    DNS 관리자DNS 관리자.

    1. 화면 위의 검은색 공간을 마우스 오른쪽 버튼으로 클릭하고 "New Host (A or AAAA)"를 선택합니다.

    레코드 추가 중레코드를 추가하는 중입니다.

    1. 다음으로 레코드 DNS를 구성합니다.
    • Name(이름): 호스트의 이름을 의미합니다.
    • 디바이스의 IP 주소입니다.

    "Add Host(호스트 추가)"를 클릭합니다.

    레코드 설정설정을 기록합니다.

    문제 해결

    호스트/IP 주소에 연결할 수 없습니다.  (ISE 오류)

    연결할 수 없음 오류연결 가능한 오류입니다.

    해결 방법 1: ISE 노드에서 DNS 컨피그레이션을 확인하고 수정합니다.

    1. ISE CLI를 열고 "nslookup <CSSM_FQDN>"을 입력합니다.

    다음 예에서는 cssm.testlab.local이 ISE 노드에서 확인되지 않았음을 확인할 수 있습니다.

    CSSM 확인 실패CSSM 확인에 실패했습니다.

    올바른 해결 방법은 다음과 같습니다.

    CSSM 확인 성공CSSM을 확인했습니다.

    실행 계획:

    1. 이 문서의 DNS 구성 항목을 확인하십시오.
    2. "ip name-server"를 확인하려면 ISE CLI에서 show running-config 명령을 입력합니다. "ip name-server"는 DNS 서버의 IP 주소와 일치해야 합니다.

    해결 방법 2: CSSM GUI를 열어 호스트 CN브라우저 인증서가 ISE 측의 CSSM 온프레미스 서버 호스트 매개 변수와 동일한지 확인합니다.

    잘못된 시나리오:

    CSSM 확인 및 ISE 설정이 잘못되었습니다.CSSM 확인 및 ISE 설정이 잘못되었습니다.

    올바른 시나리오:

    CSSM 확인 및 ISE 설정이 정확함CSSM 확인 및 ISE 설정이 정확합니다.

    실행 계획: 자세한 내용은 이 설명서의 "ISE CSSM 컨피그레이션"을 참조하십시오.

    SSO 서비스: 시스코에 연결할 수 없습니다. (CSSM 온프레미스 오류)

    계정 등록 실패계정을 등록하지 못했습니다.

    해결책: 인터넷에 연결되어 있는지 확인하십시오.

    실행 계획:

    1. 인터넷에 액세스하기 위해 프록시가 필요한 경우 Network(네트워크) > Proxy(프록시)로 이동하여 Use A Proxy Server(프록시 서버 사용) 옵션을 활성화하고 Apply(적용)를 클릭합니다.

    프록시 구성프록시 구성.

    CSR의 공용 이름이 DNS를 확인할 수 있는 호스트 이름 또는 IP 주소가 아닙니다. 다시 시도하십시오. (CSSM 온프레미스 오류)

    CSR 오류CSR 오류입니다.

    해결 방법: CSSM 서버에서 DNS 확인을 확인하고 수정하십시오.

    1. CSSM CLI를 열고 "nslookup <CSSM_FQDN>"을 입력합니다.

    다음 예에서는 cssm.testlab.local이 CSSM 서버에서 확인되지 않았음을 확인할 수 있습니다.

    DNS 서버에 연결할 수 없습니다.DNS 서버에 연결할 수 없습니다.

    올바른 출력은 다음과 같습니다.

    DNS 서버에 연결할 수 있습니다.DNS 서버에 연결할 수 있습니다.

    실행 계획:

    CSSM On-Prem에서 DNS 컨피그레이션을 확인합니다.

    1. Network > General > DNS Setting으로 이동합니다.

    기본 또는 대체 DNSDNS 서버의 IP 주소와 동일해야 합니다.

    DNS 설정DNS 설정.

    개정 이력

    개정 게시 날짜 의견
    1.0
    25-Jul-2024
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 오스카 데 헤수스 테고마 아길라르

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품