소개
이 문서에서는 설치 중에 ISE 패치 및 FAQ를 설치하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
ISE(Identity Service Engine)에 대한 기본 지식
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Identity Service Engine 2.X
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
시스코에서는 ISE 패치를 반 정기적으로 릴리스합니다. 이러한 패치에는 버그 수정 사항과 필요한 경우 보안 수정 사항(예: SSL로 검색된 Heartbleed 및 Poodle 취약성)이 포함됩니다. 이를 통해 버그 픽스가 적용되고, 보안 취약성이 연결되고, 솔루션이 원활하게 작동합니다.
ISE 노드에 패치를 설치하면 노드가 재부팅됩니다. 설치가 완료되면 서비스를 다시 시작합니다. 다시 로그인하려면 몇 분 정도 기다리십시오.
패치 설치를 유지 보수 기간으로 예약하면 일시적인 중단을 방지할 수 있습니다.
네트워크에 구축된 Cisco 버전에 적용할 수 있는 패치만 설치합니다. 시스코에서는 모든 버전 불일치와 패치 파일의 오류를 보고합니다.
현재 Cisco에 설치된 패치보다 낮은 버전의 패치는 설치할 수 없습니다. 마찬가지로, 상위 버전이 현재 시스코에 설치된 경우 하위 버전의 패치 변경 사항을 롤백할 수 없습니다.
분산형 구축의 일부인 Primary Administration Node (PAN)
에서 패치를 설치하면 Cisco ISE는 기본 노드에 패치를 설치한 다음 구축의 모든 보조 노드에 패치를 설치합니다. PAN에서 패치 설치가 성공하면 Cisco ISE는 보조 노드에서 패치 설치를 계속합니다. PAN에서 장애가 발생하면 보조 노드로 설치가 진행되지 않습니다. 그러나 보조 노드에서 특정 이유로 설치가 실패할 경우 구축의 다음 보조 노드로 계속 진행합니다.
2노드 구축의 일부인 PAN에서 패치를 설치하면 Cisco는 기본 노드와 보조 노드에 패치를 설치합니다.
PAN에서 패치 설치가 성공하면 Cisco는 보조 노드에서 패치 설치를 계속합니다. PAN에서 장애가 발생하면 보조 노드로 설치가 진행되지 않습니다.
패치를 설치하거나 롤백하려면 슈퍼 관리자 또는 시스템 관리 관리자 역할이 있어야 합니다. 패치 설치가 시작되기 전에 컨피그레이션 백업 및 운영 백업을 수집합니다.
GUI를 사용한 패치 설치
Cisco.com에서 ISE 패치를 다운로드하려면 Downloads > Products > Security > Access Control and Policy > Identity Services Engine > Identity Services Engine Software
(여기)로 이동합니다.
참고: Cisco ISE 패치는 일반적으로 누적되므로 패치 11 설치에는 패치 1부터 패치 10까지의 모든 패치가 포함됩니다. 패치를 설치하려면 ISE 서버를 재부팅해야 합니다.
참고: 패치 파일을 다운로드한 후 MD5/SHA512 체크섬을 확인합니다.
ISE에 패치를 적용하려면 ISE GUI에 로그인하고 다음 Primary Administration Node (PAN)
지침을 실행합니다.
1단계. 로 이동합니다 Administration > System > Maintenance > Patch Management > Install.
2단계. Cisco.com Browse
에서 다운로드한 패치 파일을 클릭하여 선택합니다.
3단계. 패치 Install
를 설치하려면 클릭합니다.
CLI를 사용한 패치 설치
1단계. ISE 저장소를 구성하고 필요한 ISE 패치를 저장소에 배치합니다. ISE 저장소를 설정하려면 ISE에서 저장소를 설정하는 방법을 참조하십시오.
2단계. SSH를 사용하여 ISE CLI에 로그인합니다.
3단계. ISE CLI에서 리포지토리 컨텐츠를 나열할 수 있는지 확인합니다.
ISE/admin# show repository FTP_repository
ise-patchbundle-10.2.0.7-Patch6-19021923.SPA.x86_64.tar.gz
ise-patchbundle-10.2.0.7-Patch9-19062923.SPA.x86_64.tar.gz
ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz
4단계. CLI에서 특정 ISE 노드에 패치를 설치하려면 EXEC 모드에서 patch install
명령을 실행합니다.
Patch install
SSH를 통해 ISE 노드의 CLI에 로그인하고 다음 명령을 실행합니다.
ISE/admin#patch install ise-patchbundle-10.1.0.0-Ptach3-19110111.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch installs only on this node. Install with Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Save the current ADE-OS run configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS run Configuration to startup successfully
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
patch successfully installed
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload lasts approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:21 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Fri Feb 14 01:06:41 2020):
The system is going down for reboot NOW
구축의 모든 ISE 노드에 패치를 설치하는 방법은 무엇입니까
분산형 구축의 일부인 PAN에서 패치를 설치하면 Cisco ISE는 기본 노드에 패치를 설치한 다음 구축의 모든 보조 노드에 패치를 설치합니다. 패치가 기본 PAN에 성공적으로 설치되면 Cisco ISE가 보조 노드에서 패치 설치를 계속합니다. PAN에서 장애가 발생하면 보조 노드로 설치가 진행되지 않습니다.
그러나 보조 노드에서 특정 이유로 설치가 실패할 경우 구축의 다음 보조 노드로 계속 진행합니다.
구축의 모든 ISE 노드에서 패치를 롤백하는 방법은 무엇입니까
구축의 Cisco ISE 노드에서 패치를 롤백하려면 먼저 PAN에서 변경 사항을 롤백해야 합니다. 작업이 성공한 경우 패치가 보조 노드에서 롤백됩니다. PAN에서 롤백 프로세스가 실패하면 패치가 보조 노드에서 롤백되지 않습니다. 그러나 보조 노드에서 패치 롤백이 실패하면 구축의 다음 보조 노드에서 패치 롤백을 계속하게 됩니다.
Cisco ISE가 보조 노드에서 패치를 롤백하는 동안 PAN GUI에서 다른 작업을 계속 수행할 수 있습니다. 보조 노드는 롤백 후 다시 시작 됩니다.
ISE 패치를 롤백하려면 로 ISE GUI
로그인하고 필요한 패치를 Administration > System > Maintenance > Patch Management
찾아 선택한 다음 표시된 대로 Rollback,
클릭합니다.
ISE CLI에서 패치를 롤백하는 방법은 무엇입니까
1단계. 패치를 제거할 ISE 노드에 SSH를 적용합니다.
2단계. 명령을 사용하여 ISE 노드에 설치된 패치를 확인합니다 Show Version
ISE/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 00:45:06 2019
Install Date : Mon Sep 30 12:17:29 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Oct 01 01:30:12 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 3
Install Date : Tue Mar 24 05:35:19 2020
3단계. <application name> < patch remove
patch file number to be removed> 명령을 실행합니다.
예:- patch remove ise 2
ISE/admin# patch remove ise 3
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Patch successfully uninstalled
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
참고: ISE 패치는 기본적으로 누적되며 최신 버전이 있는 동안에는 롤백할 수 없습니다. 최신 버전에서는 먼저 롤백해야 합니다.
이전 패치를 제거하려면 먼저 최신 패치를 제거한 다음 이전 패치 버전을 제거합니다.
ISE/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.
다음을 확인합니다.
ISE 패치 설치 진행률을 보려면 이미지에 표시된 대로 Administration > System > Maintenance > Patch Management > Show Node Status
로 이동합니다.
ISE 노드에서 패치 설치 상태를 확인합니다. 동일한 ISE 서버에 로그인하여 명령을 실행합니다 Show Version
ISE1/admin# show version
Cisco Application Deployment Engine OS Release: 3.0
ADE-OS Build Version: 3.0.5.144
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2019 by Cisco Systems, Inc.
All rights reserved.
Hostname: ISE1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 10.1.0.0
Build Date : Tue Feb 12 06:15:06 2019
Install Date : Thu Nov 21 16:39:02 2019
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Thu Apr 02 11:00:08 2020
ISE1/admin#
ISE 경보에서 성공 및 실패한 패치 메시지를 확인합니다.
패치 설치 성공 로그 참조
isea/admin# sh log system ade/ADE.log tail
2020-04-19T15:38:01.634794+05:30 isea ADEOSJAVAAPI[26999]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=kopriadm, cause=Application patch install has been inititated, adminipaddress=10.65.80.116, interface=GUI,
detail=Patch Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinstallrepo
2020-04-19T15:38:01.635194+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[796] [test]: Install initiated with bundle - ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz, repo - tmplocalpatchinsta
llrepo
2020-04-19T15:38:01.784100+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[913] [test]: Stage area - /storeddata/Install/.1587290881
2020-04-19T15:38:01.827925+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[918] [test]: Getting bundle to local machine
2020-04-19T15:38:01.829562+05:30 isea ADE-SERVICE[1158]: [26999]:[error] config:repository: rm_repos_cfg.c[552] [test]: server not found in url
2020-04-19T15:38:01.830656+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer.c[66] [test]: local copy in of ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz requested
2020-04-19T15:38:02.873630+05:30 isea ADE-SERVICE[1158]: [26999]:[info] transfer: cars_xfer_util.c[2293] [test]: Properties file /tmp/.cars_repodownload.props exists need to cleanup after a SIGNAL or download complete
2020-04-19T15:38:03.247065+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[954] [test]: Got bundle at - /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:03.247424+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1002] [test]: Unbundling package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:09.066295+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1064] [test]: Verifying signature for package ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz
2020-04-19T15:38:13.171615+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1073] [test]: Signed bundle /storeddata/Install/.1587290881/ise-patchbundle-10.1.0.0-Patch3-19110111.SPA.x86_64.tar.gz confirme
d with release key
2020-04-19T15:38:18.816986+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1166] [test]: Unbundling done. Verifying input parameters...
2020-04-19T15:38:18.877267+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1195] [test]: Manifest file is at - /storeddata/Install/.1587290881/manifest.xml
2020-04-19T15:38:18.877604+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1234] [test]: Manifest file appname - ise
2020-04-19T15:38:18.878051+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1286] [test]: Patch bundle contains patch(3) for app version(10.1.0.0)
2020-04-19T15:38:18.878254+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install ci_util.c[305] [test]: Comparing installed app version:(10.1.0.0) and version of app the patch is meant for:(10.1.0.0)
2020-04-19T15:38:18.878517+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1321] [test]: Manifest file pkgtype - CARS
2020-04-19T15:38:18.878712+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1735] [test]: Verifying zip...
2020-04-19T15:38:27.006433+05:30 isea ADE-SERVICE[1158]: [26999]:[info] application:install cars_install.c[1796] [test]: Executing patch install script patchinstall.sh from patch.zip
2020-04-19T15:38:27.209692+05:30 isea test: info:[patchinstall.sh] START PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Install/.1587290881 INSTALLDIRS:
2020-04-19T15:38:27.211274+05:30 isea test: info:[patchinstall.sh] NEW PATCH VER: 3 PRIOR PATCH VER: 0
2020-04-19T15:38:27.213166+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Begin
2020-04-19T15:38:27.214840+05:30 isea test: info:[patchinstall.sh] Remove IRF-Rabbitmq container
2020-04-19T15:38:27.753502+05:30 isea test: info:[patchinstall.sh] IRF-Rabbitmq container id -
2020-04-19T15:38:27.755172+05:30 isea test: info:[patchinstall.sh] No IRF-Rabbitmq container exist to remove.\n
2020-04-19T15:38:27.756631+05:30 isea test: info:[patchinstall.sh] Remove IRF-Core-Engine container
2020-04-19T15:38:27.781127+05:30 isea test: info:[patchinstall.sh] IRF-Core-Engine container id -
2020-04-19T15:38:27.783028+05:30 isea test: info:[patchinstall.sh] No IRF-Core-Engine container exist to remove.\n
2020-04-19T15:38:27.784724+05:30 isea test: info:[patchinstall.sh] IRF-RABBITMQ-RUNTIME and IRF-CORE-ENGINE-RUNTIME Remove Completed
2020-04-19T15:38:33.077501+05:30 isea test: info:[application:operation:cpmcontrol.sh] In Stop Monit
2020-04-19T15:38:33.197734+05:30 isea test: Monit daemon with pid [12796] killed
2020-04-19T15:38:34.289656+05:30 isea test: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2020-04-19T15:38:34.671998+05:30 isea ADEOSShell[28278]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2020-04-19T15:38:43.621160+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2020-04-19T15:38:43.657769+05:30 isea test: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2020-04-19T15:38:43.989085+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2020-04-19T15:38:44.019674+05:30 isea test: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2020-04-19T15:38:44.367442+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2020-04-19T15:38:44.400103+05:30 isea test: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2020-04-19T15:38:44.713844+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2020-04-19T15:38:44.753547+05:30 isea test: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2020-04-19T15:38:46.166418+05:30 isea test: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2020-04-19T15:38:46.168374+05:30 isea ADEOSShell[29231]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2020-04-19T15:41:37.224949+05:30 isea test: info:[patchinstall.sh] ISE 10.1.0.0 patch 3 installFileSystem() INVOKED
2020-04-19T15:41:37.245321+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/xde/xdeRuntime/packages/std/WorkflowsProject.xar
2020-04-19T15:41:37.251672+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/bin/ctl/radius_auth.ctl
2020-04-19T15:41:37.258874+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Audit/Internal-Administrator-Summary.xml
2020-04-19T15:41:37.265939+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Endpoint.xml
2020-04-19T15:41:37.273866+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/report-definitionsV2/Endpoints and Users/Posture-Assessment-by-Condition.xml
2020-04-19T15:41:37.280143+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/mnt-collection.jar
2020-04-19T15:41:37.288008+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/mnt/lib/libJniCollector.so
2020-04-19T15:41:37.295128+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libapr-1.a
2020-04-19T15:41:37.302031+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/apr/lib/libtcnative-1.a
2020-04-19T15:41:37.308615+05:30 isea test: info:[patchinstall.sh] Updating patched file: /storeddata/Install/.1587290881/filesystem/opt/CSCOcpm/appsrv/apache-tomcat-ca-8.5.32/webapps/ocsp-responder-webapp/WEB-INF/lib/import-export-2.6
.0-156.jar
Broadcast message from root@isea (Sun Apr 19 15:50:40 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@isea (Sun Apr 19 15:51:01 2020):
The system is going down for reboot NOW
Session terminated, killing shell... ...killed.