المقدمة
يوضح هذا المستند أهمية الوحدة النمطية للنظام الأساسي الموثوق به (TPM) ل ISE 3.3 والإصدارات الأحدث.
المتطلبات الأساسية
أنت ينبغي يتلقى المعرفة الأساسية من ال cisco هوية خدمة محرك (ISE).
معلومات أساسية
الوحدة النمطية للنظام الأساسي الموثوق به (TPM) هي شريحة كمبيوتر (وحدة تحكم مصغرة) يمكنها تخزين النتائج غير الدقيقة المستخدمة للمصادقة على النظام الأساسي (الخادم) بشكل آمن.
يمكن أن تتضمن تلك الشوائب كلمات مرور، تراخيص، أو مفاتيح تشفير. كما يمكن إستخدام الوحدة النمطية للنظام الأساسي الموثوق به (TPM) لتخزين قياسات النظام الأساسي التي تساعد على ضمان بقاء النظام الأساسي جدير بالثقة.
تعد المصادقة (التأكد من أن النظام الأساسي يمكنه إثبات أن هذا هو ما يدعي أنه موجود) والشهادة (وهي عملية تساعد على إثبات أن النظام الأساسي جدير بالثقة ولم يتم إختراقه) الخطوات الضرورية لضمان حوسبة أكثر أمانا في جميع البيئات. ويقوم مفتاح منع الوصول للهيكل بالإعلام عن أي وصول ميكانيكي غير مصرح به للخادم.
من الإصدار 3.3 وما بعده، يلزم توفر وحدة TPM لتهيئة خدمات ISE.
يتألف إطار عمل الوحدة النمطية للنظام الأساسي الموثوق به (ISE TPM) من خدمتين هما المدير الرئيسي، مدير الوحدة النمطية للنظام الأساسي الموثوق به (TPM).
مدير المفاتيح
يعد النظام الفرعي KeyManager المكون الرئيسي الذي يعالج الأسرار والمفاتيح في إحدى العقد. وهذا يتضمن إنشاء مفاتيح، وإغلاق/تشفير مفاتيح، وإلغاء إحكام/فك تشفير المفاتيح، وتوفير إمكانية الوصول إلى المفاتيح وما إلى ذلك.
يحتفظ مدير المفاتيح بمرجع، بالاسم، لجميع الأسرار التي يعالجها. لا يتم تخزين الأسرار/المفاتيح على القرص بواسطة إدارة المفاتيح. أثناء عملية إسترداد الأسرار الخاصة بتمهيد التشغيل من TPM عبر مدير TPM وتظل الأسرار في ذاكرة العملية.
برنامج TPM Manager
مدير TPM هو المسؤول الوحيد عن تهيئة TPM، وختم/فك ختم أو تشفير/فك تشفير الأسرار، والتخزين الآمن للأسرار. لا تقوم إدارة الوحدة النمطية للنظام الأساسي الموثوق به (TPM) بتخزين أي مفتاح/سر في حالة المسح على القرص. في حالة الحاجة لتخزين المفتاح/السر على القرص، يتم تشفير المفتاح/السر باستخدام مفتاح من TPM ويتم تخزينه في النموذج المشفر. تحتفظ إدارة الوحدة النمطية للنظام الأساسي الموثوق به (TPM) بالمفاتيح/الأسرار المتعلقة بالمعلومات (مثل الاسم والتاريخ والمستخدم) في ملف محلي.
المكونات المطلوبة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية
- Cisco Identity Service Engine 3.3
- جهاز SNS 3715
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الأعراض (رسائل الخطأ)
تم تثبيت ISE 3.3 على مربع 37xx بنجاح ولم تتم تهيئة الخدمات بعد التكوين الأولي للشبكة.
يمكن ملاحظة المشكلة في SNS 37xx الجديد عند تثبيت 3.3 FCS أو يمكن ملاحظتها أثناء الترقية 3.3 من أي إصدار آخر أو أثناء تثبيت تصحيح 3.3 FCS
سبب جذري
يجب تمكين وحدة TPM في SNS حيث يقوم الإصدار 3.3 (والإصدارات الأحدث) بالتحقق من صحة وحدة TPM. في حالة تعطيلها، لا تتم تهيئة TPM مما يؤدي إلى فشل تهيئة الخدمات.
السجلات المطلوبة
من واجهة سطر الأوامر،
مع هذا النوع من المشاكل، لديك وصول SSH لجمع حزمة الدعم من واجهة سطر الأوامر.
السجل المطلوب بالضبط هو ade/ADE.log.
show logging system ade/ADE.log
تحليل السجل
دراسة الحالة 1
السبب الجذري: "لم يتم تمكين الوحدة النمطية للنظام الأساسي الموثوق به (TPM)."
في CIMC Compute>BIOS> تكوين BIOS> Security> الوحدة النمطية للنظام الأساسي الموثوق به معطلة في حالة
تم تعطيل TPM
معظم الخدمات لا تعمل.
admin#show وضع التطبيق
معرف عملية حالة اسم عملية ISE
—
مستمع قاعدة البيانات الذي يشغل 379643
خادم قاعدة البيانات الذي يقوم بتشغيل 175 عملية
خادم التطبيق غير قيد التشغيل
قاعدة بيانات منشئ ملفات التعريف ليست قيد التشغيل
محرك الفهرسة ISE لا يعمل
موصل AD لا يعمل
قاعدة بيانات جلسة عمل M&T ليست قيد التشغيل
معالج سجل M&T لا يعمل
خدمة المرجع المصدق ليست قيد التشغيل
خدمة EST ليست قيد التشغيل
تم تعطيل خدمة محرك SXP
تم تعطيل خدمة TC-NAC
تم تعطيل خدمة PassiveID WMI
تم تعطيل خدمة PassiveID Syslog
تم تعطيل خدمة PassiveID API
تم تعطيل خدمة عامل PassiveID
تم تعطيل خدمة نقطة نهاية PassiveID
PassiveID SPAN أعجزت خدمة
تم تعطيل خادم DHCP (DHCP)
تم تعطيل خادم DNS (المسمى)
خدمة مراسلات ISE ليست قيد التشغيل
خدمة قاعدة بيانات عبارة ISE غير قيد التشغيل
خدمة عبارة ISE API ليست قيد التشغيل
خدمة ISE PxGrid Direct ليست قيد التشغيل
تم تعطيل خدمة نهج التجزئة
تم تعطيل خدمة مصادقة الراحة
تم تعطيل موصل SSE
Hermes (وكيل سحابة pxGrid) معطل
تم تعطيل McTrust (خدمة مزامنة Meraki)
مصدر عقدة ISE غير قيد التشغيل
خدمة ISE Prometheus ليست قيد التشغيل
خدمة ISE Grafana ليست قيد التشغيل
ISE MNT LogAnalytics Elasticsearch لا يعمل
خدمة تسجيل الدخول إلى ISE ليست قيد التشغيل
خدمة ISE Kibana ليست قيد التشغيل
خدمة ISE الأصلية IPSec ليست قيد التشغيل
منشئ ملفات تعريف MFC لا يعمل
إذا لاحظت عدم تهيئة TPM2ManagerServer ورمز الاستجابة 400، فقم بتمكين خدمة TPM وأعد تكوين العقدة.
ADE.log:
2025-01-06T08:37:01.164816+00:00 دفتر يومية لبنان[1411]: | 2025-01-06 08:37:01،164 | معلومات | 1411 | مؤشر الترابط | TPM2_manager_server.py:133 | واجهة برمجة التطبيقات: صحة تسمى |
2025-01-06T08:37:01.166050+00:00 دفتر يومية لبنان[1411]: | 2025-01-06 08:37:01،166 | خطأ | 1411 | مؤشر الترابط | utils.py:26 | TPM2ManagerServer لم تتم تهيئته |
2025-01-06T08:37:01.166179+00:00 دفتر يومية لبنان[1411]: | 2025-01-06 08:37:01،166 | معلومات | 1411 | مؤشر الترابط | web_log.py:206 | [06/JAN/2025:08:37:01 +000] "POST /API/system/v1/tpm2-manager/unseal HTTP/1.1" 400 215 "-" "Python-requests/2.20.0" |
2025-01-06T08:37:21.670490+00:00 lhrhblise | 2025-01-06 08:37:21،670 | معلومات | 372321 | مؤشر الترابط | key_manager_server.py:87 | الرجاء الانتظار أثناء تهيئة خدمة KeyManagerServer، قد يستغرق ذلك بعض الوقت |
2025-01-06T08:37:21.672808+00:00 lhrhblise | 2025-01-06 08:37:21،672 | خطأ | 372321 | مؤشر الترابط | key_manager_server.py:116 | تعذر تهيئة خدمة KeyManagerServer: لم تتم تهيئة TPM2ManagerServer |
الحل: وحدة TPM الممكنة وإجراء إعادة صورة للعقدة.
تم تمكين TPM
ملاحظة: اعلم أنه إذا قمت بضبط إعدادات الوحدة النمطية للنظام الأساسي الموثوق به (TPM) للأجهزة أو قمت بإجراء أي تغييرات، فإن ISE يظهر سلوك غير متوقع. في هذه الحالة تحتاج أن تقوم بإعادة التشكيل.
دراسة حالة 2
السبب الجذري: فشل التحقق من TPM بسبب ذاكرة التخزين المؤقت ل TPM.
على الرغم من تمكين إعدادات الوحدة النمطية للنظام الأساسي الموثوق به (TPM) في نظام الإدخال والإخراج الأساسي (BIOS)، إلا أننا نشهد مشكلات في القفل في ADE.log
ADE.log:
2024-09-12T16:01:58.063806+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،063 | معلومات | 1404 | مؤشر الترابط | TPM2_manager_server.py:133 | واجهة برمجة التطبيقات: صحة تسمى |
2024-09-12T16:01:58.063933+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،063 | معلومات | 1404 | مؤشر الترابط | web_log.py:206 | [12/SEP/2024:10:31:58 +000] "GET /api/system/v1/tpm2-manager/health HTTP/1.1" 200 158 "-" "python-requests/2.20.0" |
2024-09-12T16:01:58.064968+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،064 | معلومات | 1404 | مؤشر الترابط | TPM2_manager_server.py:184 | واجهة برمجة التطبيقات: في ما يسمى |
2024-09-12T16:01:58.068413+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12:01:58،068 | معلومات | 1404 | مؤشر الترابط | TPM2_Proxy.py:79 | تشغيل الأمر: الوحدة النمطية للنظام الأساسي الموثوق به (TPM2_Clear) |
2024-09-12T16:01:58.075085+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،074 | خطأ | 1404 | مؤشر الترابط | TPM2_Proxy.py:85 | تعذر تشغيل TPM2_Clear بسبب: الوحدة النمطية للنظام الأساسي الموثوق به (TPM):WARN(2.0): لا يسمح بالتراخيص للكائنات التي تخضع لحماية DA في هذا الوقت لأن TPM في وضع تأمين DA |
2024-09-12T16:01:58.075194+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،075 | خطأ | 1404 | مؤشر الترابط | TPM2_manager_server.py:249 | خطأ: الوحدة النمطية للنظام الأساسي الموثوق به (TPM):WARN(2.0): لا يسمح بالتراخيص للكائنات التي تخضع لحماية DA في هذا الوقت لأن TPM في وضع تأمين DA |
خلال عملية التثبيت، لاحظنا الأخطاء في وحدة تحكم لوحة المفاتيح والفيديو والماوس.
يتم الآن إستخراج محتوى قاعدة بيانات ISE...
يتم الآن بدء عمليات قاعدة بيانات ISE...
إستثناء في مسار التنفيذ "min" com.cisco.cpm.exceptions. TPMException: فشل تنفيذ البرنامج النصي ل TPM مع كود إرجاع غير صفري. )
at com.cisco.cpm.auth.encryptor.crypt.tppul11.getResult(TPMUtil.java:53
at com.cisco.cpm.auth.encryptor.crypt.tpmul11.encrypt(TPER11.java:38) على com.cisco.cpm.auth.encryptor.crypt.KEKGenerator.returnKey (KEKGenerator.java:36)
at com.cisco.cpm.auth.encryptor.crypt.kekgenerator.main(KEKGenerator.java:77)
java.lang.IllegalArgumentException: مفتاح فارغ
على javax.crypto.spec. SecretKeySpec.<init>(SecretKeySpec. Java:96) على com.cisco.cpm.auth.encryptor.crypt.crypt.<init>(crypt.java:73)
at com.cisco.cpm.auth.encryptor.crypt.DefaultCryptEncryptor encrypt(DefaultCryptEncryptar.java:81)
على com.cisco.cpm.auth.encryptor. PassudHelper.ma in (PasssalHelper.java:46)
قد يظهر إعداد قاعدة البيانات المتبع بواسطة الإعداد:
سجلات الأخطاء:
###############################################################################################################
الخطأ : فشل إعداد قاعدة البيانات!
قد يكون هذا نتيجة لتكوين واجهة شبكة غير صحيح أو نقص الموارد على الجهاز أو الجهاز الظاهري. الرجاء إصلاح المشكلة وتشغيل CLI هذا لإعادة إنشاء قاعدة البيانات الأساسية:
إعادة ضبط التطبيق-config ise
#######################
الحل: إذا لاحظت أنه تم تأمين وحدة TPM، فستساعد إعادة تعيين ذاكرة التخزين المؤقت ل TPM.
الخطوات التي يجب القيام بها:
قم بتشغيل vKVM، ويجب إعادة تشغيل الخادم
عند ظهور شعار Cisco
- اضغط F2 (هذه قائمة BIOS)
- مسح TPM
- دورة الطاقة
