Instalar parche en ISE

Opciones de descarga

  • PDF     (661.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (497.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (361.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:30 de septiembre de 2024
ID del documento:215406

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe las formas de instalar parches ISE y preguntas frecuentes durante la instalación.

Prerequisites

Requirements

Conocimientos básicos de Identity Service Engine (ISE).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Identity Service Engine 3.X

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Cisco lanza parches de ISE de forma semirregular. Estos parches contienen correcciones de errores y, cuando es necesario, correcciones de seguridad (por ejemplo, las vulnerabilidades Heartbleed y Poodle detectadas con SSL). Esto garantiza que se apliquen correcciones de errores, que se conecten las vulnerabilidades de seguridad y que la solución funcione sin problemas.

Al instalar un parche en un nodo ISE, el nodo se reinicia. Reinicie los servicios una vez finalizada la instalación. Espere unos minutos antes de volver a iniciar sesión.

Puede programar la instalación de parches durante un período de mantenimiento para evitar una interrupción temporal.

Instale sólo los parches aplicables a la versión de Cisco implementada en la red. Cisco informa cuando no hay coincidencias en las versiones y los errores en el archivo de parche.

No puede instalar un parche de una versión inferior a la que está instalada actualmente en Cisco. De manera similar, no puede revertir los cambios de un parche de versión inferior si actualmente hay una versión superior instalada en Cisco.

Al instalar un parche desde el nodo de administración principal (PAN) que forma parte de una implementación distribuida, Cisco ISE instala el parche en el nodo principal y, a continuación, en todos los nodos secundarios de la implementación. Si la instalación del parche se realiza correctamente en PAN, Cisco ISE continúa la instalación del parche en los nodos secundarios. Si falla en PAN, la instalación no continúa en los nodos secundarios. Sin embargo, si la instalación falla en cualquiera de los nodos secundarios por cualquier motivo, continúa con el siguiente nodo secundario de la implementación.

Al instalar un parche desde PAN que forma parte de una implementación de dos nodos, Cisco instala el parche en el nodo principal y, a continuación, en el secundario.

Si la instalación de la revisión se realiza correctamente en el PAN, Cisco continúa con la instalación de la revisión en el nodo secundario. Si falla en el PAN, la instalación no continúa al nodo secundario.

Debe tener el rol de administrador del sistema o de superadministrador para instalar o revertir los parches. Recopile la copia de seguridad de la configuración y la copia de seguridad operativa antes de que se inicie la instalación del parche.

Instalación de parches con GUI

Para descargar los parches de ISE desde Cisco.com, vaya a Descargas > Productos > Seguridad > Control de acceso y políticas > Identity Services Engine > Software Identity Services Engine(aquí).

Download Patch

Nota: Los parches de Cisco ISE suelen ser acumulativos, lo que significa que la instalación del parche 11 incluye todos los parches del parche 1 al parche 10. La instalación del parche requiere reiniciar el servidor de ISE.

Nota: Verifique la suma de comprobación MD5/SHA512 después de descargar el archivo de parche.

Para aplicar el parche en ISE, inicie sesión en la GUI del nodo de administración principal (PAN) de ISE y ejecute estas instrucciones: 

Paso 1. Vaya a Administración > Sistema > Mantenimiento > Gestión de Parches > Instalar.

Paso 2. Haga clic en Browse y elija el archivo de parche que se descargó de Cisco.com.

Paso 3. Haga clic en Install para instalar el parche.

Install Patch

Instalación de parches con CLI

Paso 1. Configure un repositorio de ISE y coloque el parche de ISE necesario en el repositorio. Para configurar el repositorio de ISE, consulte Cómo configurar el repositorio en ISE

Paso 2. Inicie sesión en ISE CLI con SSH.

Paso 3. Asegúrese de que la CLI de ISE puede enumerar el contenido del repositorio.

ise1/admin# show repository FTP_repository

ise-patchbundle-3.3.0.430-Patch2-24041511.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch3-24070910.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz

Paso 4. Para instalar el parche en un nodo ISE específico desde la CLI, ejecute el patch install comando en modo EXEC.

patch install

Inicie sesión en la CLI del nodo ISE a través de SSH y ejecute estos comandos:

ise1/admin# patch install ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Initiating Application Patch installation...

Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Patch successfully installed

Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:36:52 2024):

Trying to stop processes gracefully. Reload might take approximately 3 mins


% This application Install or Upgrade requires reboot, rebooting now...

Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:37:21 2024):

The system is going down for reboot NOW

Instale el parche en todos los nodos ISE de la implementación

Al instalar un parche desde PAN que forma parte de una implementación distribuida, Cisco ISE instala el parche en el nodo principal y, a continuación, en todos los nodos secundarios de la implementación. Si la instalación del parche se realiza correctamente en el PAN principal, Cisco ISE continúa con la instalación del parche en los nodos secundarios. Si falla en el PAN, la instalación no continúa a los nodos secundarios.

Sin embargo, si la instalación falla en cualquiera de los nodos secundarios por cualquier motivo, aún continúa con el siguiente nodo secundario en su implementación.

Revertir el parche en todos los nodos ISE de la implementación

Para revertir un parche de los nodos de Cisco ISE en una implementación, primero debe revertir el cambio desde el PAN. Si esto tiene éxito, el parche se revierte de los nodos secundarios. Si el proceso de rollback falla en PAN, los parches no se deshacen de los nodos secundarios. Sin embargo, si el rollback del parche falla en cualquier nodo secundario, continúa deshaciendo el parche del siguiente nodo secundario de la implementación.

Mientras Cisco ISE revierte el parche desde los nodos secundarios, puede continuar realizando otras tareas desde la GUI de PAN. Los nodos secundarios se reinician después del rollback.

Para deshacer los parches de ISE, inicie sesión en la GUI de ISE y navegue hasta Administration > System > Maintenance > Patch Management y seleccione el parche necesario y haga clic en Rollback como se muestra:

Roll Back Patch on all ISE Nodes

Revertir el parche desde la CLI de ISE

Paso 1. SSH al nodo ISE en el que desea eliminar el parche.

Paso 2. Verifique los parches instalados en el nodo ISE con el comando show version:

ise1/admin# show version

Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64

Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1


Version information of installed applications
---------------------------------------------

Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Dec 17 09:57:23 2024

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024

Paso 3. Ejecute el comando patch remove <nombre de aplicación> <número de archivo de parche que se eliminará> .

            Por ejemplo, parche quite ise 4:

ise1/admin# patch remove ise 4
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.

Patch successfully uninstalled

% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8  03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW

Nota: Los parches de ISE son de naturaleza acumulativa y no se pueden revertir mientras exista una versión más reciente. La versión más reciente requiere que se revierta primero.

  Para desinstalar el parche anterior, desinstale primero el último parche y, a continuación, la versión anterior del parche.

ise1/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment. 
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.

Verificación

Para ver el progreso de la instalación de parches de ISE, navegue hasta Administration > System > Maintenance > Patch Management > Show Node Status como se muestra en la imagen:

Node Status for Patch

Verifique el estado de instalación de la revisión desde el nodo ISE. Inicie sesión en el mismo servidor ISE y ejecute el comando show version:

ise1/admin# show version

Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64

Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1


Version information of installed applications
---------------------------------------------

Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024

Verifique los mensajes de parches correctos y fallidos en las alarmas de ISE:

Verify Successful and Failed Patch Mesages

La referencia del registro de instalación de parches se realizó correctamente.

ise1/admin# sh logging system ade/ADE.log tail
2024-12-17T09:28:29.162564+00:00 ise1 CARSSetup[2783958]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=system, cause=Application patch install has been inititated, adminipaddress=127.0.0.1, interface=CLI, detail=Patch Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.104724+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:28:29.105444+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name SFTP-REPO
2024-12-17T09:28:29.162700+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2568] [system]: Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.171681+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2734] [system]: Stage area - /storeddata/Installing/.1734427709
2024-12-17T09:28:29.193007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2737] [system]: Getting bundle to local machine
2024-12-17T09:28:29.193704+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer.c[159] [system]: sftp copy in of ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz requested
2024-12-17T09:28:29.194062+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2643] [system]: Server validation successful x.x.x.x
2024-12-17T09:28:29.194784+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: sftp_handler.c[689] [system]: DEBUG: local user: admin UID: 0 sftp_run_parent FD: 9 remote host: x.x.x.x remote user: admin command: get /ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.127455+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2666] [system]: Properties file /tmp/.cars_repodownload.props does not exist
2024-12-17T09:29:24.127573+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2794] [system]: Got bundle at - /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.156171+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2867] [system]: Unbundling package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:41.327286+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2969] [system]: Verifying signature for package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:51.072928+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2993] [system]: Signed bundle /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz confirmed with release key
2024-12-17T09:30:09.180007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3172] [system]: Unbundling done. Verifying input parameters...
2024-12-17T09:30:09.180604+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3214] [system]: Manifest file is at - /storeddata/Installing/.1734427709/manifest.xml
2024-12-17T09:30:09.180652+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3283] [system]: Manifest file appname - ise
2024-12-17T09:30:09.180953+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3388] [system]: Patch bundle contains patch(4) for app version(3.3.0.430)
2024-12-17T09:30:09.183179+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install ci_util.c[322] [system]: Comparing installed app version:(3.3.0.430) and version of app the patch is meant for:(3.3.0.430)
2024-12-17T09:30:09.183259+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3443] [system]: Manifest file pkgtype - CARS
2024-12-17T09:30:09.183288+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4152] [system]: Verifying zip...
2024-12-17T09:30:32.843082+00:00 ise1 root: info:[patchinstall.sh] Current Disable_RSA_PSS=0
2024-12-17T09:30:32.847037+00:00 ise1 root: info:[patchinstall.sh] STARTING PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Installing/.1734427709 INSTALLDIRS:
2024-12-17T09:30:32.850535+00:00 ise1 root: info:[patchinstall.sh] NEW PATCH VER: 4 PRIOR PATCH VER: 0
2024-12-17T09:30:32.708937+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4241] [system]: Executing patch install script patchinstall.sh from patch.zip
2024-12-17T09:30:35.742426+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] In Stop Monit
2024-12-17T09:30:35.755071+00:00 ise1 root: Monit daemon with pid [21765] killed
2024-12-17T09:30:36.816209+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2024-12-17T09:30:37.125419+00:00 ise1 ADEOSShell[2791127]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2024-12-17T09:30:45.772624+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2024-12-17T09:30:45.799438+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2024-12-17T09:30:45.871771+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2024-12-17T09:30:45.898168+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2024-12-17T09:30:45.967252+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2024-12-17T09:30:45.994671+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2024-12-17T09:30:46.074828+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2024-12-17T09:30:46.103781+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2024-12-17T09:30:46.619128+00:00 ise1 root: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2024-12-17T09:30:46.621415+00:00 ise1 ADEOSShell[2791750]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2024-12-17T09:33:00.041627+00:00 ise1 root: info:[patchinstall.sh] ISE 3.3.0.430 patch 4 installFileSystem() INVOKED
2024-12-17T09:33:00.074901+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-core-3.5.7.jar
2024-12-17T09:33:00.085182+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-ws-policy-3.5.7.jar
2024-12-17T09:33:00.094910+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-bindings-soap-3.5.7.jar
2024-12-17T09:33:00.107845+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/prrt-interface-3.3.0.904.6-x86_64.jar
2024-12-17T09:33:00.117375+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-transports-http-3.5.7.jar
Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:36:52 2024):

Trying to stop processes gracefully. Reload takes approximately 3 mins

Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:37:21 2024):

The system is going down for reboot NOW

Session terminated, killing shell... ...killed.

Historial de revisiones

Revisión Fecha de publicación Comentarios
4.0
30-Sep-2024
Texto alternativo y formato actualizados.
3.0
08-Nov-2023
Recertificación
2.0
09-Sep-2022
Revisado para enmascarar nombres de archivo, comandos, acciones de usuario y exploración de directorios desde la traducción automática. Gramática menor, puntuación, estructura, formato.
1.0
20-Apr-2020
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Lakkireddy Abhilasha
    Technical Consulting Engineer
  • Prashant Joshi
    Technical Consulting Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos