Einleitung
Dieses Dokument beschreibt die Integration von Cisco ISE 3.4 mit MS Excel über Data Connect zum direkten Abrufen von Berichtsdaten aus der ISE-Datenbank.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Cisco Identity Services Engine (ISE) 3.4
- Grundkenntnisse über Oracle-Abfragen
- Microsoft Excel
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco ISE-Version: 3.4
- MS Excel - Microsoft Office 365
- Windows 11 - 21H2
- ODAC-Version - 23.7.0.25.01
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
In dieser Konfiguration verwendete ISE-Bereitstellung:
ISE-Bereitstellung
Hintergrundinformationen
Data Connect ist eine Funktion, die Ansichten sowohl aus dem cepm- als auch dem mnt-ISE-DB-Schema verfügbar macht. Nur der schreibgeschützte Zugriff auf die Daten wird bereitgestellt. Die Data Connect-Funktion wird von der Cisco ISE Version 3.2 unterstützt. Sie können beliebige Konfigurations- oder Betriebsdaten für Ihr Netzwerk abhängig von Ihren Geschäftsanforderungen extrahieren und daraus aussagekräftige Berichte und Dashboards generieren.
Konfigurieren
Schritt 1: Konfigurieren der ISE Data Connect-Einstellungen
Datenverbindung aktivieren
Navigieren Sie auf der ISEAdministration > System > Settings > Data Connect > Settings
zu, und schalten Sie die Schaltfläche nebenData Connect.
Geben Sie das Kennwort ein. Klicken Sie anschließend aufSave.
Datenverbindungsfunktion auf der ISE aktivieren
Notieren Sie sich die Datenverbindungseinstellungen, die standardmäßigUser Name, Hostname, Port, and Service Name.
Data Connect auf dem sekundären MNT-Knoten in einer verteilten Bereitstellung aktiviert ist. Weitere Informationen zu Failover-Szenarien finden Sie im Administratorhandbuch.
Admin-Zertifikat des sekundären MNT-Knotens exportieren (Knoten gemäß Datenverbindungseinstellungen)
Das ISE-Zertifikat muss von den Clients, die ISE über Data Connect abfragen, als vertrauenswürdig eingestuft werden. Um das Zertifikat zu exportieren, navigieren Sie zu Administration> System > Certificates > Certificate Management > System Certificates > Select the node > Select the Certificate with Admin usage. Click Export.
Administratorzertifikat exportieren
Das Zertifikat wird im PEM-Format exportiert.
Zertifikatformat
Phase 2: Windows-Computer konfigurieren
ODBC-Treiber und Oracle 64-Bit-Client von der Oracle-Website installieren
- Laden Sie die entsprechenden Instant Client-Pakete für Ihre Plattform herunter. Für alle Installationen ist das Basispaket oder das Basispaket Light erforderlich. Hier verwenden wir Version 23.7.0.25.01
- Extrahieren und verschieben Sie die Dateien in den Standardspeicherort für den Oracle-Client als C:\instantclient_23_7. Wenn Sie jedoch den Speicherort ändern, stellen Sie sicher, dass der Speicherort der Systemvariablen hinzugefügt wird.
- Fügen Sie diesen Verzeichnispfad der Umgebungsvariablen Benutzer und System PATH hinzu. Navigieren Sie in der Windows-Systemsteuerung zur Umgebungsvariablen.
- Laden Sie das ODBC-Paket für dieselbe Version herunter.
- ODBC-Treiber installieren: Extrahieren Sie die ZIP-Datei, und kopieren Sie deren Inhalt in das Verzeichnis, in dem Sie den Instant Client installiert haben (Beispiel: C:\instantclient_23_7).
- Führen Sie die Datei odbc_install.exe im Instant Client-Verzeichnis aus. Wenn Sie eine Sicherheitswarnung erhalten, klicken Sie auf Mehr, und lassen Sie sie trotzdem laufen.
JDeveloper Studio für Windows 64-Bit von der Oracle-Website installieren
In dieser Übung haben wir die Datei jdev_suite_121300_win64.exe verwendet.
ODAC-Dateien konfigurieren
- Navigieren Sie in der Windows-Systemsteuerung zu Umgebungsvariablen.
- Fügen Sie eine neue Systemvariable zum Speichern von ODAC-Dateien hinzu.
- Der zu verwendende Variablenname lautet TNS_ADMIN, und der Variablenwert ist der Pfad der Speicherdateien.
- Fügen Sie den Inhalt wie abgebildet sqlnet.ora in Ihrer TNS_ADMIN-Variable (Lab TNS_ADMIN Pfad: C:\instantclient_23_7\network\admin) hinzu.
#SQLNET.AUTHENTICATION_SERVICES= (NTS)
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA = (DIRECTORY = %path to wallet with the dataconnect certificate which we will be creating in future steps% ))
)
SSL_CLIENT_AUTHENTICATION=FALSE
5. Fügen Sie den Inhalt hinzu, wie in totnsnames.orallocated in Ihrer TNS_ADMIN-Variable Lab TNS_ADMIN Pfad angezeigt: C:\instantclient_23_7\network\admin). Ersetzen Sie die Host-IP durch die IP-Adresse des Data Connect-Knotens.
Anmerkung: Achten Sie beim Ändern auf die Einrückung der Konfiguration dieser Dateien. Weitere Informationen finden Sie auf der Oracle-Website.
Neue Datenquelle für ODBC hinzufügen
- Der Microsoft ODBC Data Source Administrator verwaltet Datenbanktreiber und Datenquellen. Diese Anwendung befindet sich in der Windows-Systemsteuerung unter Verwaltung. Öffnen Sie ODBC-Datenquellen 64-Bit-Anwendung von der Windows-Startleiste oder Suchleiste. Oder Sie öffnen direkt die 64-Bit-Anwendung unter dem Pfad "C:\windows\system32\odbcad32.exe".
- Wählen Sie entweder die Registerkarte Benutzer-DSN oder System-DSN aus, und klicken Sie auf Hinzufügen. Wählen Sie den neu hinzugefügten Oracle-Treiber Oracle in instantclient_23_7 im sich öffnenden Fenster Neue Datenquelle erstellen.
Neue Datenquelle hinzufügen
Wenn dieser Treiber nicht im ODBC-Fenster angezeigt wird, überprüfen Sie die Windows-Registrierung, um sicherzustellen, ob er dort angezeigt wird. Dies ist der Pfad in der Windows-Registrierung:
Registrierungseinstellung
Wenn die Treiber in der Registrierung nicht angezeigt werden, starten Sie das Fenster neu. Andernfalls überprüfen Sie die Schritte zur Installation des ODBC-Treibers:
- Geben Sie einen Datenquellennamen ein. Zum Beispiel Texcel.
- Geben Sie den Namen des TNS-Diensts wie in tnsnames.ora angegeben ein. Beispiel; In diesem Dokument wird TestDB verwendet.
- Geben Sie dataconnect als Benutzer-ID ein. Dies ist der Standardbenutzername für die Verbindung mit der ISE DB.
- Klicken Sie auf OK.
Oracle ODBC-Treiberkonfiguration
Brieftasche mit Orapki-Befehlszeilenprogramm erstellen
Nach der erfolgreichen Installation von JDeveloper, orapki verfügbar unter C:\Oracle\Middleware\Oracle_Home\oracle_common\bin.
Orapki Path
- Fügen Sie den Pfad für orapki zur Windows-Pfadvariablen hinzu (optional).
- Wir haben manuell ein Verzeichnis namens Wallet als Orapki wallet im Pfad C:\Users\cisco\Documents\Wallet erstellt, bevor wir den Befehl orapki ausführen.
- Öffnen Sie Power Shell und runorapki wallet create -wallet %path to wallet% -auto_loginto, um die orapki wallet zu erstellen.
- Geben Sie auf Aufforderung ein neues Kennwort für den vertrauenswürdigen Speicher ein.
PS C:\Users\cisco> cd C:\Oracle\Middleware\Oracle_Home\oracle_common\bin
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin> .\orapki wallet create -wallet C:\Users\cisco\Documents\Wallet -auto_login
Oracle PKI Tool : Version 12.1.3.0.0
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
Enter password:
Enter password again:
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin>
Admin-Zertifikat des Datenverbindungsknotens in Orapki-Guthaben importieren
- Übertragen Sie das heruntergeladene ISE-Zertifikat in Schritt 1 an den lokalen Client und ändern Sie den Zertifikatsnamen (optional) etwas leicht zu identifizierendes (In LAB haben wir zu secmoncert.pem geändert) und fügen Sie es dem orapki-Client gemäß dem Ausschnitt hinzu.
- Runorapki Wallet add -wallet %Path to orapki wallet% -trusted_cert -cert %Path to certificate%on PowerShell.
- Geben Sie auf Aufforderung ein neues Kennwort für den vertrauenswürdigen Speicher ein.
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin> .\orapki wallet add -wallet C:\Users\cisco\Documents\Wallet -trusted_cert -cert C:\Users\cisco\Downloads\secmoncert.pem
Oracle PKI Tool : Version 12.1.3.0.0
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
Cannot modify auto-login (sso) wallet
Enter wallet password:
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin>
Dateien im Wallet-Pfad überprüfen
4. Fügen Sie die Wallet-Pfad tosqlnet.ora Datei.
Brieftaschenspeicherort in Sqlnet.ora-Datei hinzufügen
Oracle ODBC-Treiberkonfiguration testen
Navigieren Sie zu C:\windows\system32\odbcad32.exe, und wählen Sie den neu erstellten Datenquellentest Excel aus. Klicken Sie auf Konfigurieren. Klicken Sie auf Verbindung testen. Fügen Sie das Kennwort hinzu, und klicken Sie auf OK.
ODBC-Verbindung testen
Die Testverbindung wurde erfolgreich hergestellt.
Erfolgreiche Verbindung
Konfigurieren von Windows MS Excel
- Starten Sie MS Excel neu.
- Navigieren Sie zur Registerkarte Daten, und klicken Sie auf Daten abrufen > Aus anderen Quellen > Aus ODBC.
ODBC mit MS Excel verwenden
3. Wählen Sie den Datenquellennamen (Data Source Name, DSN) aus, der mit den vorherigen Schritten erstellt wurde. Zum Beispiel Texcel.
Datenquelle
4. Geben Sie dataConnect als Benutzer-ID ein. Geben Sie das Kennwort ein, das bei Aufforderung über openapi oder die Benutzeroberfläche für den DataConnect-Benutzer konfiguriert wurde. MS Excel hat nun direkten Zugriff auf die ISE. Sie können alle Konfigurations- oder Betriebsdaten Ihres Netzwerks abhängig von Ihren Geschäftsanforderungen extrahieren und daraus aussagekräftige Berichte und Dashboards erstellen. Wählen Sie die erforderliche Datenbankansicht aus, und klicken Sie auf Daten laden oder umwandeln.
MS Excel verbunden mit ISE SchreibgeschützteDatenbank
5. Wählen Sie die Option "Daten umwandeln" und passen Sie den Datenbericht entsprechend Ihren Anforderungen an. In diesem Beispiel nutzen wir die Ansicht "RADIUS_AUTHENTICATION_SUMMARY", um Authentifizierungen nach ISE-Knoten zu filtern.
Filtern Sie die Spalte ISE_NODE, und wählen Sie die entsprechende PSN aus.
Hier ist die Abfrage:
= Table.SelectRows(RADIUS_AUTHENTICATION_SUMMARY_View, each ([ISE_NODE] = "ise341-psn1"))
Authentifizierung nach ISE-Knoten filtern
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.