دمج ISE 3.3 مع WSA باستخدام CA الخارجي
المحتويات
المقدمة
يصف هذا وثيقة إجراء أن يدمج ISE 3.3 مع cisco يأمن الويب جهاز (WSA) يستعمل pxGrid توصيل.
المتطلبات الأساسية
المتطلبات
توصي Cisco بالمعرفة في هذه الموضوعات:
- محرك خدمات الهوية
- جهاز الويب الآمن (WSA) من Cisco
- شبكة تبادل الأنظمة الأساسية (pxGrid)
- شهادات TLS/SSL.
- PKI على نظام التشغيل Windows Server 2016
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Identity Services Engine (ISE)، الإصدار 3.3 Patch 4
- Cisco Secure Web Appliance، الإصدار 15.2.0-116
- Windows Server 2016 كخادم مرجع شهادات خارجي (CA).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
القسم أ: تكوين شهادة Cisco Identity Services Engine 3.3
الخطوة 1: إنشاء شهادة ESisesErver pxGrid
إنشاء CSR لشهادة ISE Server pxGrid:
1.سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمحرك خدمات الهوية من Cisco.
2.NavigatetoAdministration > النظام > الشهادات > إدارة الشهادات >طلبات توقيع الشهادات.
3. حدد إنشاء طلب توقيع الشهادة (CSR).
4. يتم إستخدام الشهادة (الشهادات) الخاصة ب SelectpxGridin للحقل.
5. إعلام SelectISE الذي يتم إنشاء الشهادة له.
6.يمكنك إضافة تفاصيل أخرى عند الضرورة.
7. ClickGenerate.
8. ClickExportandSaveFile محليا.
الخطوة 2: إنشاء شهادة ISE Server pxGrid باستخدام مرجع مصدق خارجي
1.انتقل إلى MS Active Directory Certificate Service،https://server/certsrv/، حيث يكون الخادم IP أو DNS الخاص بخادم MS.
2. انقر فوق طلب شهادة.
3. أختر إرسال طلب شهادة متقدم.
4.نسخ محتويات CSR التي تم إنشاؤها في القسم السابق في حقل الطلب المحفوظ.
5. SelectpxGridas The Certificate Template، ثم انقر فوق Submit.
ملاحظة: يحتاج قالب الشهادة PXgrid المستخدم إلى كل من مصادقة العميل ومصادقة الخادم في حقل إستخدام المفتاح المحسن.
6.تنزيل الشهادة التي تم إنشاؤها بتنسيق Base-64 والحفظ بتنسيق ISE_pxGrid.cer.
الخطوة 3: إستيراد شهادة جذر CA إلى مخزن ثقة ISE
1.انتقل إلى صفحة MS Active Directory Certificate ServiceHome وحدد تنزيل شهادة CA أو سلسلة الشهادات أو CRL.
2. تنسيق SelectBase-64، ثم انقر فوق شهادة DownloadCA.
3.حفظ الشهادة ك ca_root.cer.
4.سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمحرك خدمات الهوية من Cisco.
5. حدد إدارة > نظام > شهادات > إدارة الشهادات >شهادات موثوق بها.
6. SelectImport > ملف الشهادة وImportRootCertificate.
7. تأكد من تحديد خانة الاختيار Trust for authentication ضمن ISEcheck.
8. ClickSubmit.
الخطوة 4: ربط شهادة ISE بطلب توقيع الشهادة (CSR).
1.سجل الدخول إلى واجهة المستخدم الرسومية (GUI) لمحرك خدمات الهوية من Cisco.
2. حدد إدارة > نظام > شهادات > إدارة الشهادات >طلبات توقيع الشهادات.
3. حدد CSR الذي تم إنشاؤه في القسم السابق، ثم انقر فوق شهادة الربط.
4. في نموذج الشهادة الموقعة ل Bind CA، أختر شهادة ISE_pxGrid.cer التي تم إنشاؤها مسبقا.
5. قم بتسمية الشهادة باسم مألوف، ثم انقر فوق "إرسال".
7. ClickYesif النظام يطلب إستبدال الشهادة.
8. حدد إدارة > نظام > شهادات > شهادات النظام.
9. يمكنك رؤية شهادة pxGrid المنشأة موقعة من المرجع المصدق الخارجي في القائمة.
القسم ب: إضافة شهادة جذر CA إلى مخزن شهادات WSA الموثوق به
إضافة شهادة جذر CA إلى مخزن WSA الموثوق به:
1.سجل الدخول إلى واجهة المستخدم الرسومية (WSA) الخاصة بجهاز أمان الويب.
2. انتقل إلى الشبكة > إدارة الشهادات > إدارة شهادات الجذر الموثوق بها.
3. إستيراد وتحميل شهادة جذر CA، ثم انقر إرسال.
4. انقر فوق تنفيذ التغييرات لتطبيق التغييرات.
تم نشر الشهادات الآن، قم بالمتابعة للتكامل.
إندماج
قبل الشروع في التكامل، تأكد من أن:
بالنسبة إلى Cisco ISE تحت الإدارة > pxGrid Services > SettingandCheck الموافقة التلقائية على الحسابات الجديدة المستندة إلى الشهادة لطلب العميل الموافقة التلقائية والحفظ.
القسم أ: تمكين WSA لتكامل ISE وإنشاء CSR لشهادة عميل WSA.
1.سجل الدخول إلى واجهة المستخدم الرسومية (WSA) الخاصة بجهاز أمان الويب.
2. انتقل إلى الشبكة > خدمات التعريف >محرك خدمة التعريف.
3.انقر على تمكين الإعدادات وتحريرها.
4.أدخل عنوان IP لعقدة ISE pxGrid الأساسية أو FQDN.
5.قم بتحميل شهادة جذر CA لعقدة pxGrid الأساسية.
6.أدخل عنوان IP الخاص بعقدة ISE PxGrid الثانوية أو FQDN.(إختياري)
7.قم بتحميل شهادة جذر CA لعقدة pxGrid الثانوية. (اختياري)
ملاحظة: يمكن أن تكون هناك عقدتان PxGrid فقط لكل نشر ISE. ويعمل هذا كتكوين PXgrid نشط-Standby؛ يمكن أن تكون عقدة ISE+PxGrid واحدة فقط نشطة في كل مرة. في تكوين الاستعداد النشط ل PxGrid، يتم تمرير جميع المعلومات من خلال PPAN، حيث تظل عقدة ISE+PxGrid الثانية غير نشطة.
8. قم بالتمرير إلى قسم شهادة عميل جهاز الويب وانقر فوق إنشاء شهادة ومفتاح جديدين.
9. تفاصيل شهادة Fillin حسب الضرورة وانقر فوق إنشاء.
ملاحظة: يجب أن تكون مدة الشهادة عددا صحيحا يتراوح بين 24 و 60 شهرا ويجب أن تكون الدولة رمز بلد بحرفين ISO (الحروف الكبيرة فقط).
10. انقر فوق تنزيل طلب توقيع الشهادة.
11. انقر فوق إرسال.
12. انقر فوق تنفيذ التغييرات لتطبيق التغييرات.
تحذير: إذا لم تقم بإرسال التغييرات المذكورة والتزامها وتحميل الشهادة الموقعة مباشرة والالتزام، فيمكنك مواجهة مشكلات أثناء التكامل.
القسم ب: توقيع CSR لعميل WSA باستخدام CA خارجي
1.انتقل إلى MS Active Directory Certificate Service،https://server/certsrv/، حيث يكون الخادم هو IP أو DNS الخاص بخادم MS.
2. طلب شهادة ClickRequest.
3. أختر إرسال طلب شهادة متقدم.
4.نسخ محتويات CSR التي تم إنشاؤها في القسم السابق في حقل الطلب المحفوظ.
5. SelectpxGridas The Certificate Template، ثم انقر فوق Submit.
ملاحظة: ملاحظة: يحتاج قالب الشهادة PXgrid المستخدم إلى كل من مصادقة العميل ومصادقة الخادم في حقل إستخدام المفتاح المحسن.
6.تنزيل الشهادة التي تم إنشاؤها بتنسيق Base-64 والحفظ ك WSA-Client.cer.
القسم ج: ربط شهادة عميل WSA بطلب توقيع الشهادة (CSR) والتكامل.
1.واجهة المستخدم الرسومية (GUI) لجهاز أمان الويب Navigateto.
2. انتقل إلى الشبكة > خدمات التعريف >محرك خدمة التعريف.
3.انقر فوق تحرير الإعدادات.
4.انتقل إلى قسم شهادة عميل جهاز الويب.
5. تحت قسم الشهادات الموقعة، قم بتحميل الشهادة الموقعة WSA-Client.CER
انقر فوق إرسال.
7.انقر فوق تنفيذ التغييرات لتطبيق التغييرات.
8. انقر تحرير الإعدادات.
9.قم بالتمرير لاختبار الاتصال بعقد ISE وانقر فوق بدء الاختبار، والذي يمكن أن ينتج عنه ما يلي:
- إختبار الاتصال بعقد ISE
- إختبار الاتصال بعقد ISE
Checking DNS resolution of ISE pxGrid Node hostname(s) ...
Success: Resolved '10.127.197.128' address: 10.127.197.128
Validating WSA client certificate ...
Success: Certificate validation successful
Validating ISE pxGrid Node certificate(s) ...
Success: Certificate validation successful
Checking connection to ISE pxGrid Node(s) ...
Trying primary PxGrid server...
SXP not enabled.
ERS not enabled.
Preparing TLS connection...
Completed TLS handshake with PxGrid successfully.
Trying download user-session from (https://ise33.lab.local:8910)...
Failure: Failed to download user-sessions.
Trying download SGT from (https://ise33.lab.local:8910)...
Able to Download 17 SGTs.
Skipping all SXP related service requests as SXP is not configured.
Success: Connection to ISE pxGrid Node was successful.
Test completed successfully.
التحقق من الصحة
في Cisco ISE، انتقل إلى الإدارة >خدمات PXgrid > إدارة العميل > العملاء.
يؤدي هذا إلى إنشاء WSA كعميل pxgrid مع statusEnabled.
للتحقق من الاشتراك في الموضوع على Cisco ISE، انتقل إلى الإدارة >خدمات PXgrid > التشخيصات > WebSocket > العملاء:
Cisco ISE Pxgrid-server.log TRACE level.reference.
{"timestamp":1742395398803,"level":"INFO","type":"WS_SERVER_CONNECTED","host":"ise33","client":"wsabgl.lab.local_ised","server":"wss://ise33.lab.local:8910/pxgrid/ise/pubsub","message":"WebSocket connected. session\u003d[id\u003d4,client\u003dwsabgl.lab.local_ised,server\u003dwss://ise33.lab.local:8910/pxgrid/ise/pubsub]"}
TRACE [Thread-8][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Drop. exclude=[id=3,client=~ise-fanout-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub]
DEBUG [Thread-8][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -::::::- Authenticating null
DEBUG [Thread-8][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -::::::- Certs up to date. user=~ise-pubsub-ise33
DEBUG [Thread-8][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -::::::- preAuthenticatedPrincipal = ~ise-pubsub-ise33, trying to authenticate
DEBUG [Thread-8][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -::::::- X.509 client authentication certificate subject:CN=ise33.lab.local, OU=AAA, O=Cisco, L=Bangalore, ST=KA, C=IN, issuer:CN=Avaste-ISE, DC=avaste, DC=local
DEBUG [Thread-8][[]] cisco.cpm.pxgridwebapp.config.MyX509Filter -::::::- Authentication success: PreAuthenticatedAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=~ise-pubsub-ise33, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]], Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=10.127.197.128, SessionId=null], Granted Authorities=[ROLE_USER]]
DEBUG [Thread-8][[]] cisco.cpm.pxgridwebapp.data.AuthzDaoImpl -::::::- requestNodeName=wsabgl.lab.local_ised serviceName=com.cisco.ise.pubsub operation=subscribe /topic/com.cisco.ise.session
DEBUG [Thread-13][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Adding subscription=[id=my-id,topic=/topic/com.cisco.ise.session]
INFO [Thread-13][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Pubsub subscribe. subscription=[id=my-id,topic=/topic/com.cisco.ise.session] session=[id=4,client=wsabgl.lab.local_ised,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub]
TRACE [WsIseClientConnection-804][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::- Send. session=[id=34eae17d-594f-4dcd-b3e6-f2f644317eda,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=395, trace-id=6d3dcbc0a34346eeb9bafccd570f8090, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=395] content={"timestamp":1742395398821,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"ise33","client":"wsabgl.lab.local_ised","server":"wss://ise33.lab.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003dmy-id,topic\u003d/topic/com.cisco.ise.session] session\u003d[id\u003d4,client\u003dwsabgl.lab.local_ised,server\u003dwss://ise33.lab.local:8910/pxgrid/ise/pubsub]"}
TRACE [Thread-3][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Received frame=[command=SEND,headers=[content-length=395, trace-id=6d3dcbc0a34346eeb9bafccd570f8090, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=395], content={"timestamp":1742395398821,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"ise33","client":"wsabgl.lab.local_ised","server":"wss://ise33.lab.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003dmy-id,topic\u003d/topic/com.cisco.ise.session] session\u003d[id\u003d4,client\u003dwsabgl.lab.local_ised,server\u003dwss://ise33.lab.local:8910/pxgrid/ise/pubsub]"}
TRACE [Thread-3][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Authorized to send (cached). session=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
TRACE [Thread-3][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Distribute from=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1742395398821,"level":"INFO","type":"PUBSUB_SERVER_SUBSCRIBE","host":"ise33","client":"wsabgl.lab.local_ised","server":"wss://ise33.lab.local:8910/pxgrid/ise/pubsub","message":"Pubsub subscribe. subscription\u003d[id\u003dmy-id,topic\u003d/topic/com.cisco.ise.session] session\u003d[id\u003d4,client\u003dwsabgl.lab.local_ised,server\u003dwss://ise33.lab.local:8910/pxgrid/ise/pubsub]"}
TRACE [Thread-3][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log]
TRACE [Thread-3][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Distribute distributed. subscription=[id=2,topic=/topic/wildcard]
TRACE [sub-sender-1][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::- Send. subscription=[id=2,topic=/topic/wildcard] from=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] to=[id=1,client=~ise-fanout-ise33,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=395, trace-id=6d3dcbc0a34346eeb9bafccd570f8090, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=37248],content-len=395]
TRACE [sub-sender-0][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::- Send. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log] from=null to=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=395, trace-id=6d3dcbc0a34346eeb9bafccd570f8090, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=37248],content-len=395]
DEBUG [Grizzly(1)][[]] cpm.pxgrid.ws.client.WsSubscriber -::::::- onStompMessage session=[id=34eae17d-594f-4dcd-b3e6-f2f644317eda,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log]
DEBUG [Grizzly(1)][[]] cpm.pxgrid.ws.client.WsSubscriber -::::::- onStompMessage session=[id=4b4d7de4-b960-49f7-afac-9adab3238481,client=~ise-fanout-ise33,server=wss://localhost:8910/pxgrid/ise/pubsub] subscription=[id=2,topic=/topic/wildcard]
TRACE [Grizzly(1)][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::- Send. session=[id=dd1d138d-a640-4f4f-bd4d-169d0cf5d937,client=~ise-fanout-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=570, destination=/topic/distributed, from=~ise-fanout-ise33, via=~ise-fanout-ise33],content-len=570] content=MESSAGE
TRACE [Grizzly(1)][[]] cpm.pxgridwebapp.ws.distributed.FanoutDistributor -::::::- DownstreamHandler sent frame for upstream. frame=[command=SEND,headers=[content-length=570, destination=/topic/distributed, from=~ise-fanout-ise33, via=~ise-fanout-ise33],content-len=570]
TRACE [Thread-10][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Received frame=[command=SEND,headers=[content-length=570, destination=/topic/distributed, from=~ise-fanout-ise33, via=~ise-fanout-ise33],content-len=570], content=MESSAGE
TRACE [Thread-10][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Authorized to send (cached). session=[id=3,client=~ise-fanout-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] topic=/topic/distributedاستكشاف الأخطاء وإصلاحها
المشكلة
مشكلة CA غير معروفة، على WSA فشل إختبار اتصال ISE مع الخطأ. فشل: انتهت مهلة الاتصال بخادم ISE PxGrid.
Cisco ISE Pxgrid-server.log TRACE level.reference.
ERROR [Thread-8][[]] cisco.cpm.pxgrid.cert.LoggingTrustManagerWrapper -::::::- checkClientTrusted exception.message=PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target principle=CN=wsabgl.lab.local, OU=Security, O=AAA, C=IN
TRACE [WsIseClientConnection-804][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::- Send. session=[id=34eae17d-594f-4dcd-b3e6-f2f644317eda,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=338, trace-id=0f31b9311a2940a9bdeb0c8c647f6083, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=338] content={"timestamp":1742395129748,"level":"ERROR","host":"ise33","message":"checkClientTrusted exception.message\u003dPKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target principle\u003dCN\u003dwsabgl.lab.local, OU\u003dSecurity, O\u003dAAA, C\u003dIN"}
TRACE [Thread-9][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Received frame=[command=SEND,headers=[content-length=338, trace-id=0f31b9311a2940a9bdeb0c8c647f6083, destination=/topic/com.cisco.ise.pxgrid.admin.log],content-len=338], content={"timestamp":1742395129748,"level":"ERROR","host":"ise33","message":"checkClientTrusted exception.message\u003dPKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target principle\u003dCN\u003dwsabgl.lab.local, OU\u003dSecurity, O\u003dAAA, C\u003dIN"}
TRACE [Thread-9][[]] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -::::::- Authorized to send (cached). session=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log
TRACE [Thread-9][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Distribute from=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] topic=/topic/com.cisco.ise.pxgrid.admin.log content={"timestamp":1742395129748,"level":"ERROR","host":"ise33","message":"checkClientTrusted exception.message\u003dPKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target principle\u003dCN\u003dwsabgl.lab.local, OU\u003dSecurity, O\u003dAAA, C\u003dIN"}
TRACE [Thread-9][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Distribute distributed. subscription=[id=0,topic=/topic/com.cisco.ise.pxgrid.admin.log]
TRACE [Thread-9][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionDistributor -::::::- Distribute distributed. subscription=[id=2,topic=/topic/wildcard]
TRACE [sub-sender-1][[]] cpm.pxgridwebapp.ws.pubsub.SubscriptionSender -::::::- Send. subscription=[id=2,topic=/topic/wildcard] from=[id=0,client=~ise-admin-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] to=[id=1,client=~ise-fanout-ise33,server=wss://localhost:8910/pxgrid/ise/pubsub] message=[command=MESSAGE,headers=[content-length=338, trace-id=0f31b9311a2940a9bdeb0c8c647f6083, destination=/topic/com.cisco.ise.pxgrid.admin.log, message-id=37180],content-len=338]
DEBUG [Grizzly(2)][[]] cpm.pxgrid.ws.client.WsSubscriber -::::::- onStompMessage session=[id=4b4d7de4-b960-49f7-afac-9adab3238481,client=~ise-fanout-ise33,server=wss://localhost:8910/pxgrid/ise/pubsub] subscription=[id=2,topic=/topic/wildcard]
TRACE [Grizzly(2)][[]] cpm.pxgrid.ws.client.WsEndpoint -::::::- Send. session=[id=dd1d138d-a640-4f4f-bd4d-169d0cf5d937,client=~ise-fanout-ise33,server=wss://ise33.lab.local:8910/pxgrid/ise/pubsub] frame=[command=SEND,headers=[content-length=513, destination=/topic/distributed, from=~ise-fanout-ise33, via=~ise-fanout-ise33],content-len=513] content=MESSAGE
يمكن ملاحظة سبب الفشل مع عمليات التقاط الحزم،
الحل
1. تأكد من أن الشهادة الموقعة على Web Appliance ملزمة بنجاح على WSA وتم تنفيذ التغييرات.
2. تأكد من أن شهادة CA الجذر أو المصدر لشهادة عميل WSA هي جزء من المخزن الموثوق به على Cisco ISE.
العيوب المعروفة
| معرف الخطأ من Cisco | الوصف |
| معرف تصحيح الأخطاء من Cisco 23986 | يقوم طلب API ل Pxgrid getUserGroups بإرجاع إستجابة فارغة. |
| معرف تصحيح الأخطاء من Cisco 77321 | يتلقى WSA SIDs بدلا من مجموعات AD من ISE. |
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
26-Mar-2025
|
الإصدار الأولي |
التعليقات