ISE-netwerkapparaten verwijderen met ERS API
Inleiding
Dit document beschrijft het proces voor het verwijderen van netwerktoegangsapparaten (NAD's) op ISE via ERS API met behulp van PostMan als REST client.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- ISE (Identity Services Engine)
- ERS (Externe RUSTful Services)
- REST klanten zoals Postman, RESTED, Insomnia, enzovoort.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende softwareversies:
- Cisco ISE (Identity Services Engine) 3.1 patch 6
- Postman REST client v10.16
Opmerking: de procedure is vergelijkbaar of identiek voor andere ISE-versies en REST-clients. U kunt deze stappen gebruiken op alle 2.x en 3.x ISE-softwarereleases, tenzij anders vermeld.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
ERS inschakelen (poort 9060)
ERS API's zijn HTTPS-only REST API's die werken via poort 443 en poort 9060. Port 9060 is standaard gesloten, dus het moet eerst geopend worden. Er wordt een time-out van de server weergegeven als clients die proberen toegang te krijgen tot deze poort niet eerst ERS inschakelen. Daarom is de eerste vereiste dat ERS vanuit de Cisco ISE-beheerder UI mogelijk wordt gemaakt.
Navigeer naar Beheer > Instellingen > API-instellingen en schakel de knop ERS (Lezen/schrijven) in.
Opmerking: de ERS API's ondersteunen TLS 1.1 en TLS 1.2. ERS API's ondersteunen TLS 1.0 niet, ongeacht het inschakelen van TLS 1.0 in het venster Beveiligingsinstellingen van Cisco ISE GUI (Beheer > Systeem > Instellingen > Beveiligingsinstellingen). TLS 1.0 inschakelen in het venster Beveiligingsinstellingen heeft alleen betrekking op het EAP-protocol en heeft geen invloed op ERS API's.
Opmerking: Bulkverwijderbewerkingen worden niet ondersteund door ISE. En het wissen moet één voor één worden uitgevoerd.
ERS-beheerder maken
Maak een Cisco ISE-beheerder, wijs een wachtwoord toe en voeg vervolgens een gebruiker aan de beheergroep toe als ERS-beheerder. U kunt de rest van de configuratie leeg laten.
Postman instellen
Download of gebruik de online versie van Postman.
- Maak een gebruiker en maak een werkruimte door te klikken op Create Workspace onder het tabblad Workspace.
2. Selecteer Lege werkruimte en wijs een naam toe aan de werkruimte. U kunt een beschrijving toevoegen en deze openbaar maken. In dit voorbeeld is Persoonlijk geselecteerd.
Zodra u de werkruimte hebt gemaakt, kunt u nu onze API-oproepen configureren.
Naam en ID ophalen
Voordat u NADs begint te verwijderen, moet u eerst de naam of de ID van de NAD kennen. De NAD-naam is gemakkelijk te verkrijgen uit de NAD-lijst op ISE, maar de ID is alleen te verkrijgen via een GET API-oproep. Dezelfde API-aanroep retourneert niet alleen de NAD-ID, maar ook de naam en de eventuele beschrijving die tijdens de NAD-configuratie is toegevoegd.
Om de GET call te configureren, opent u eerst de ISE ERS SDK (Software Developer Kit). Dit hulpmiddel compileert de gehele lijst van API vraag ISE kan uitvoeren:
- Navigeer naar https://{ise-ip}/ers/sdk
- Login met behulp van uw ISE-beheerreferenties.
- Breid nu de API-documentatie uit
- Scroll naar beneden tot u Netwerkapparaat vindt en klik op het.
- Onder deze optie kunt u nu alle beschikbare bewerkingen vinden die u kunt uitvoeren voor Netwerkapparaten op ISE. Selecteer alles
6. U kunt nu de configuratie zien die nodig is om de API-oproep uit te voeren op een Rest-client, evenals een verwacht responsvoorbeeld.
7. Terug naar Postman, basisauthenticatie configureren naar ISE. Selecteer in het tabblad Autorisatie Basis autorisatie als het verificatietype en voeg de eerder op ISE gemaakte ISE ERS-gebruikersreferenties toe.
Opmerking: Het wachtwoord wordt weergegeven als duidelijke tekst tenzij variabelen zijn geconfigureerd op Postman
8. Ga naar het tabblad Koppen en configureer de gewenste kopregels voor de API-aanroep zoals weergegeven in de SDK. In dit voorbeeld wordt JSON gebruikt, maar xml kan ook gebruikt worden. In dit voorbeeld moet de headerconfiguratie er als volgt uitzien:
9. Voer het GET gesprek uit. Selecteer GET als de methode. Plakt https://{ISE-ip}/ers/config/network device in het veld en klik op Verzenden. Als alles correct was geconfigureerd, moet u een 200 Ok-bericht en het resultaat zien.
TESTNAD1 en TESTNAD2 kunnen worden verwijderd met behulp van 2 verschillende verwijderoproepen.
Verwijderen en per ID
Verwijder TESTNAD1 met behulp van de ID die bij de GET Call is verzameld.
1. Selecteer Verwijderen op de SDK onder het tabblad Network Device. Zoals eerder gezien zijn de kopregels vereist om de oproep en de verwachte respons uit te voeren
2.Gezien het feit dat de kopregels lijken op de GET call en dat u de DELETE call op dezelfde ISE uitvoert, dupliceert u de vorige call en wijzigt u de benodigde variabelen. Aan het eind, moet de kopbalconfiguratie als dit kijken:
3. Verwijder nu TESTNAD1. Selecteer VERWIJDEREN als de methode. Plakt https://{ISE-ip}/ers/config/networkdevice/{id} in het veld, vervang {id} door de actuele ID van de NAD die van de GET oproep gezien wordt en klik op Verzenden. Als alles correct was geconfigureerd, moet u een 204 No Content-bericht zien en het resultaat leeg.
4. Bevestig of de NAD is verwijderd door GET opnieuw te bellen of door de ISE en NAD lijst te controleren. Merk op dat TESTNAD1 niet meer bestaat.
Verwijderen en op naam
Verwijder TESTNAD2 met behulp van de naam die is verzameld vanuit de GET Call of de NAD-lijst van de ISE GUI.
- Selecteer in de SDK onder het tabblad Network Device de optie Delete-by-Name. Zoals eerder te zien zijn de kopregels die nodig zijn om de oproep uit te voeren en de verwachte reactie.
2. Gezien het feit dat de headers gelijk zijn aan de GET call en dat u de DELETE call op dezelfde ISE uitvoert, dupliceer dan de vorige call en verander de benodigde variabelen. Aan het eind, moet de kopbalconfiguratie als dit kijken:
3. TESTNAD2 schrappen. Selecteer VERWIJDEREN als de methode. Plakt https://{ISE-ip}/ers/config/network device/name/{name} in het veld, vervang {name} door de feitelijke naam van de NAD die gezien wordt vanuit de GET call of vanuit de ISE GUI en klik op Send. Als alles correct was geconfigureerd, moet u een 204 No Content-bericht zien en het resultaat leeg.
4. Bevestig of de NAD is verwijderd door GET opnieuw te bellen of door de ISE en NAD lijst te controleren. Merk op dat TESTNAD2 niet meer bestaat.
Verifiëren
Als u tot de API dienst GUI pagina kunt toegang hebben, bijvoorbeeld, https://{iseip}:{port}/api/swagger-ui/index.html of https://{iseip}:9060/ers/sdk, betekent het dat de API-service werkt zoals verwacht.
Problemen oplossen
- Alle REST-bewerkingen worden gecontroleerd en de logbestanden worden ingelogd in de systeemlogbestanden.
- Om problemen op te lossen die betrekking hebben op de Open API's, stelt u het niveau van het logboek voor de apisservice-component in om te DEBUGGEN in het venster van de Debug Log Configuration.
- Om problemen met betrekking tot de ERS API's op te lossen, stelt u het Logniveau voor de ers-component in om DEBUG te maken in het venster Debug Log Configuration. Als u dit venster wilt weergeven, navigeert u naar de Cisco ISE GUI, klikt u op het pictogram Menu en kiest u Operations > Probleemoplossing > Wizard Debug > Log Configuration.
- U kunt de logbestanden downloaden vanuit het venster Download Logs. Als u dit venster wilt weergeven, navigeert u naar de Cisco ISE GUI, klikt u op het pictogram Menu en kiest u Operations > Probleemoplossing > Logbestanden downloaden.
- U kunt ervoor kiezen om een ondersteuningsbundel van het tabblad Support te downloaden door op de knop Downloaden onder het tabblad te klikken, of om de api-service debug logs te downloaden van het tabblad Debug Logs door op de waarde Log File voor het debug-log te klikken.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
28-Sep-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)