Configurazione di CSSM su prem e registrazione delle licenze con ISE

Opzioni per il download

  • PDF     (5.1 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:25 luglio 2024
ID documento:222207

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive l'integrazione di CSM On-Prem con Cisco Identity Service Engine (ISE) e Cisco Smart Account, garantendo una configurazione ottimale.

    Prerequisiti

    Requisiti

    ISE 3.X

    Cisco Smart Software Manager (CSM) versione 8 release 202304 +

    Componenti usati

    • Patch 2 di Identity Service Engine 3.2
    • SSM On Prem 8.20234
    • Windows Active Directory 2016 (servizi DNS e Autorità di certificazione)
    • VMWare ESXi versione 7

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    General topologyTopologia generale

    Installare CSM on-Prem su VMWARE ESXi.

    1. Scaricare Cisco IOS®. È possibile utilizzare il collegamento successivo: https://software.cisco.com/download/home/286285506/type/286326948/release/8-202304

    2. Caricare l'ISO in VMWARE ESXi.

    Passare a Memoria > Browser archivio dati.

    Data browser sectionSezione Data browser

    3. Fare clic su Crea directory per creare una nuova cartella (facoltativo).

    Creation of directoryCreazione della directory

    Nell'esempio seguente è stata creata la cartella CSSM:

    Creation of foldersCreazione di cartelle

    4. Fare clic su Upload, quindi scegliere il file ISO.

    Uploading ISOCaricamento ISO

    Il file ISO si trova nella cartella CSSM:

    The ISO upload is completedCaricamento ISO completato

    5. Creare la macchina virtuale. passare a Macchina virtuale > Crea/registra macchina virtuale.

    Creating a new VM step 01Creazione di una nuova VM fase 01

    6. Scegliere Crea una nuova macchina virtuale e fare clic su Avanti.

    Creating a new VM step 02Creazione di una nuova VM fase 02

    7. Quindi configurare i parametri successivi:

    • Nome: Immettere il nome della macchina virtuale.
    • Compatibilità: Selezionare ESXi 6.0 o versione successiva oppure ESXi 6.5 o versione successiva. 
    • Famiglia di sistemi operativi guest: Linux.
    • Versione sistema operativo guest: Scegliere CentOS 7 (64 bit) o Other 2.6x Linux (64 bit)

    Fare clic su Next (Avanti).

    VM name and IOSNome VM e IOS

    8. Selezionare la memoria e fare clic su avanti.

    Storage listElenco di archiviazione

    9. Configurare i parametri successivi:

    • CPU: 4 come minimo. L'impostazione effettiva di vCPU dipende dai requisiti di scalabilità
    note-icon

    Nota: La quantità di core per socket deve essere impostata su 1 indipendentemente dal numero di socket virtuali selezionati. Ad esempio, una configurazione a 4 vCPU deve essere configurata come 4 socket e 1 core per socket.

    Configuration of CoresConfigurazione dei core

    • Memoria: 8 GB
    • Disco rigido: 200 GB e verificare che il provisioning sia impostato su Thin Provision.

    Configuration of diskConfigurazione del disco

    • Scheda di rete: Selezionare il tipo di scheda E1000 e scegliere Connetti all'accensione.

    Configuration of network settingsConfigurazione delle impostazioni di rete

    • Unità CD/DVD: Scegliere "File ISO dei dati" e selezionare il file ISO.

    ISO imageimmagine ISO

    È possibile verificare il riepilogo delle impostazioni dopo aver completato i passaggi precedenti.

    Summary VM configuration 01Riepilogo configurazione VM 01

    Fare clic su Next (Avanti).

    10. Fare clic su Fine.

    Summary VM configuration 02Riepilogo configurazione VM 02

    Configurazione iniziale di CSSM locale.

    1. In VMWARE ESXi, passare a Virtual Machines (Macchine virtuali) e selezionare la macchina virtuale, quindi fare clic su Power On (Accendi).

    Power on optionOpzione di accensione

    1. Sono disponibili diverse opzioni per gestire la console VM. Selezionare Console > Apri console browser.

    Options to manage the VMOpzioni per la gestione della VM

    1. Configurare le impostazioni di rete.
    note-icon

    Nota: È importante configurare l'indirizzo IP del server DNS che risolve l'FQDN del modulo CSM.

    Configuration of CSSM network settingsConfigurazione delle impostazioni di rete CSM

    Fare clic su Ok per configurare la nuova password CLI.

    1. Il processo di installazione viene quindi avviato e completato fino a quando non viene visualizzato il prompt di accesso.

    CSSM initial configuration completedConfigurazione iniziale CSM completata

    1. Aprire un browser e immettere https://<ip_address_CSSM>.

    CSSM login pagePagina di accesso a CSM

    Usa le credenziali predefinite:

    Username: admin

    Password: Cisco Admin!2345

    1. Seleziona la lingua.
    2. Creare una nuova password GUI.
    3. Configurare il nome comune dell'host. (esempio: nomehost.dominio).

    In questo caso, cssm.testlab.local è stato configurato come Host Common Name.

    Host common name configurationConfigurazione nome comune host

    1. Convalidare la configurazione e fare clic su Applica.

    CSSM initial settings completedImpostazioni iniziali CSM completate.

    Integrazione di CSM on-prem con Smart Account

    È necessario associare lo Smart Account al CSM sul server principale.

    1. Aprire lo Smart Account Cisco utilizzando il collegamento successivo:

    https://software.cisco.com/

    1. Quindi, scegliere Gestisci licenze nella sezione Smart Software Manager.
    Manage licenses optionOpzione Gestisci licenze
    1. Passare a Inventario e copiare il nome dello Smart Account e dell'account virtuale. In questa guida, si tratta di InternalTestDemoAccount67 e AAA MEX TEST.

    Software Cisco pagePagina Software Cisco

    1. Aprire l'interfaccia utente di CSM e selezionare l'opzione Admin Workspace.

    Main CSSM menuMenu principale CSSM.

    1. Quindi selezionare Conti.

    CSSM AccountsAccount.

    1. Selezionare Nuovo account per creare una nuova richiesta di registrazione.

    Creation of CSSM accountCreazione dell'account CSSM.

    1. Immettere le informazioni successive:
    • Nome account: Nome personalizzato del nuovo registro.
    • Cisco Smart Account: Incollare il nome dello Smart Account.
    • Account virtuale Cisco: Incollare il nome dell'account virtuale.
    • Posta elettronica per notifica: Digitare l'indirizzo di posta elettronica.

    Account registrationRegistrazione account.

    Fare clic su Invia.

    1. Quindi clicca su Richieste di account.

    In questa sezione è possibile visualizzare la richiesta eseguita nel passaggio precedente.

    Account request.Richiesta account.

    1. Fare clic su azioni.

    Actions optionOpzione Azioni.

    Sono disponibili tre opzioni:

    • Approva: Utilizzare questa opzione per registrare il modulo CSM locale con lo Smart Account tramite Internet.
    • Rifiuta: Elimina la richiesta.
    • Registrazione manuale: Utilizzare questa opzione per registrare il modulo CSM locale con lo Smart Account senza Internet.

     OPZIONE 1: Registrare il modulo CSM on-Prem tramite una connessione Internet.

    1. Se si sceglie Approva, è necessario immettere il nome utente e la password dello Smart Account Cisco e fare clic su Invia.

    Approve optionApprova.

    Quindi fai clic su avanti per accettare la registrazione dell'account.

    Account registrationRegistrazione account.

    Per confermare lo stato della registrazione, passare a Account e lo stato dell'account deve essere attivo.

    Account statusStato account.

    Aprire lo Smart Account (https://software.cisco.com/). Selezionare quindi l'opzione Conti locali per visualizzare il nuovo registro.

    On Prem Account.In Conto Prem.

    OPZIONE 2: Registrare il modulo CSM on-prem senza una connessione Internet.

    Se si sceglie Registrazione manuale, fare clic su Genera file di registrazione. In questo modo viene creata una richiesta di registrazione che verrà scaricata nel computer.

    Manual registration.Registrazione manuale.

    Aprire quindi lo Smart Account (https://software.cisco.com/) e passare a Account locali.

    Fare clic su Nuovo in locale

    Adding new On-Prem.Aggiunta di nuovi elementi locali.

    Configurare quindi i parametri successivi:

    • Nome locale: Nome personalizzato del nuovo registro.
    • File di registrazione: Fare clic su Choose File (Scegli file) e selezionare la richiesta di registrazione.
    • Account virtuale: Incollare il nome dell'account virtuale.

    Authorization file.File di autorizzazione.

    E fare clic su Genera file di autorizzazione.

    Scaricare quindi il file di autorizzazione.

    Downloading authorization fileDownload del file di autorizzazione.

    Aprire l'interfaccia utente di CSM per caricare il file di autorizzazione. Fare clic su Sfoglia, scegliere il file e quindi fare clic su Carica.

    Uploading authorization file.Caricamento del file di autorizzazione.

    Passare quindi a Sincronizzazione e fare clic su Azioni > Sincronizzazione manuale > Sincronizzazione completa.

    Manual Sync.Sincronizzazione manuale

    Scaricare il file di richiesta Sync.

    Downloading file SyncScaricamento file in corso.

    Aprire lo Smart Account e selezionare Account locale, quindi cercare il nome locale CSM nell'elenco e fare clic su Azioni > Sincronizzazione file

    Uploading file SyncCaricamento file in corso. Sincronizza.

    Caricare quindi il file di richiesta Sync e fare clic su Genera file di risposta.

    Generating a response fileGenerare un file di risposta.

    Quindi fare clic su Scarica file di risposta di sincronizzazione

    Sync fileSincronizza file.

    Infine, caricare il file di risposta Synch nel CSM in sede.

    Sync completedSincronizzazione completata.

     Integrazione di CSM On-Prem con ISE.

    1. Aprire l'interfaccia utente di CSM e selezionare Admin Workspace.

    Main CSSM menu.Menu principale CSSM.

    1. Selezionare Sicurezza > Certificati > Genera CSR
    note-icon

    Nota: È importante configurare il nome host + dominio sul nome comune dell'host, in quanto ISE utilizza questo parametro per stabilire una connessione con il CSM. È possibile utilizzare un indirizzo IP anziché il nome host + dominio, tuttavia si consiglia di utilizzare il nome host + dominio

    note-icon

    Nota: Nei passaggi seguenti viene descritta la procedura per installare il certificato GUI nel modulo CSM. Se si desidera proteggere la connessione di gestione al CSM GUI utilizzando un certificato firmato dall'Autorità di certificazione (CA) personale, è necessario verificare i passaggi successivi. In caso contrario, controllare direttamente il punto 9.

    CSR optionOpzione CSR.

    1. Immettere quindi le informazioni personali. Tenere presente che il Nome alternativo soggetto viene creato automaticamente utilizzando lo stesso valore del Nome comune. Il CSR viene scaricato automaticamente dopo aver fatto clic su Genera.

    CSR detailsDettagli CSR.

    1. Firmare il CSR: Per ulteriori informazioni, vedere "Creazione di certificati da CA di Windows". in questo documento.
    1. Caricare il certificato CA radice.

    Uploading Root CACaricamento della CA radice.

    Fare clic su Continua.

    Proceed optionOpzione Continua.

    1. Immettere una descrizione e scegliere il certificato radice, quindi fare clic su OK.

    Description root CACA radice descrizione.

    1. Caricare il CSR firmato dalla CA (Certificato di identità CSM).

    Uploading CSSM Identity CertCaricamento del certificato di identità CSM.

    note-icon

    Nota: NOTA: Nel nostro caso, il certificato intermedio non esiste nella nostra CA. Se tuttavia si utilizza un certificato intermedio nell'architettura, il certificato intermedio è obbligatorio.

    8. Confermare quindi che entrambi i certificati siano stati installati.

    Certificates validationConvalida dei certificati.

    1. Creare un token nel locale SSM: Selezionare area di lavoro gestione licenze.

    Workspace pagePagina Workspace.

    1. passare a Smart Licensing.

    CSSM Smart licensing pagePagina delle licenze CSM Smart

    1. Cercare l'account virtuale locale, quindi fare clic su Nuovo token e su Continua.

    New token optionNuova opzione token.

    1. Selezionare Create Token e copiarlo.

    Creation of new tokenCreazione del nuovo token.

    Token detailsDettagli token.

    1. Aprire la GUI di ISE e selezionare Amministrazione > Sistemi > Licenze, quindi fare clic su Dettagli registrazione, selezionare il metodo host del server locale SSM, quindi incollare il token.

    Registration of licensesRegistrazione delle licenze.

    1. Immettere l'FQDN locale di SSM sull'host del server locale SSM e fare clic su Registra.

    CSSM and ISE settingsImpostazioni CSSM e ISE.

    note-icon

    Nota: È importante configurare il nome host + dominio sul nome comune dell'host, in quanto ISE utilizza questo parametro per stabilire una connessione con il modulo CSM. È possibile utilizzare un indirizzo IP al posto di hostname + domain, tuttavia si consiglia di utilizzare hostname + domain

    1. Infine, la registrazione è stata completata.

    Registration completedRegistrazione completata.

     Crea certificati da CA di Windows.

    L'amministratore dell'Autorità di certificazione deve eseguire le operazioni seguenti:

    1. Aprire un browser Web e passare a http://localhost/certsrv/
    2. Fare clic su Request a certificate (Richiedi certificato).

    Request certificateRichiedi certificato.

    1. Fare clic su Richiesta avanzata di certificati.

    Advanced certificate requestRichiesta avanzata di certificati.

    1. Aprire il CSR generato in precedenza.  Copiare quindi le informazioni e incollarle su Richiesta salvata.

    Submit certificateInvia certificato.

    Dopo aver fatto clic su Invia, il certificato viene scaricato automaticamente.

    1. Scaricare la radice del certificato CA. Tornare a http://localhost/certsrv/ e selezionare Download a CA Certificate, Certificate Chain o CRL.

    Download root CAScaricare la CA radice.

    1. Scaricare il certificato CA utilizzando il metodo di codifica Base64.

    Base 64 optionBase 64.

    Aggiungere record DNS in Windows Server.

    Se l'utente è l'amministratore, aggiungere gli FQDN ISE e CSM.

    1. Aprire Gestore DNS: Digitare "DNS" nel Finder di Windows e aprire l'app DNS.

    DNS optionOpzione DNS.

    1. Passare a Zone di ricerca diretta > E scegliere il dominio.

    DNS managerGestore DNS.

    1. Fare clic con il pulsante destro del mouse su uno spazio nero e selezionare "New Host (A or AAAA)" (Nuovo host (A o AAAA)

    Adding recordAggiunta record in corso.

    1. Configurare il record DNS come il seguente:
    • Nome: Indica il nome dell'host.
    • Indirizzo IP del dispositivo.

    Fare clic su "Add Host" (Aggiungi host)

    Record settingsImpostazioni di registrazione.

    Risoluzione dei problemi

    Host/indirizzo IP non raggiungibile. (Errore ISE)

    Not reachable errorErrore raggiungibile.

    Soluzione 1: Verificare e correggere la configurazione DNS nel nodo ISE.

    1. Aprire ISE CLI e digitare "nslookup <CSSM_FQDN>"

    Nell'esempio seguente, è possibile vedere che cssm.testlab.local non è stato risolto dal nodo ISE.

    CSSM resolution failedRisoluzione CSM non riuscita.

    La risoluzione corretta sarebbe:

    CSSM resolution successfullyRisoluzione CSSM completata.

    Piano d'azione:

    1. Controllare l'argomento sulla configurazione DNS in questo documento.
    2. Immettere il comando show running-config sulla CLI di ISE per controllare il "ip name-server". Il "ip name-server" deve corrispondere all'indirizzo IP del server DNS.

    Soluzione 2: Aprire la GUI del modulo CSM per verificare che il nome comune dell'host e il certificato del browser siano gli stessi del parametro CSM On-Prem server Host sul lato ISE.

    Scenario errato:

    CSSM resolution and ISE setting are incorrectLa risoluzione CSM e l'impostazione ISE non sono corrette.

    Scenario corretto:

    CSSM resolution and ISE setting are correctLa risoluzione CSM e l'impostazione ISE sono corrette.

    Piano d'azione: Per ulteriori informazioni, vedere "ISE and CSSM configuration" in questa guida.

    Servizio SSO: Impossibile raggiungere Cisco. (Errore in CSSM locale)

    Account registration failedRegistrazione account non riuscita.

    Soluzione: Verificare la connettività a Internet.

    Piano d'azione:

    1. Se è necessario un proxy per accedere a Internet, selezionare Rete > Proxy, abilitare l'opzione Usa un server proxy e fare clic su Applica.

    Proxy configurationConfigurazione del proxy.

    Il nome comune nel CSR non è un nome host o un indirizzo IP risolvibile tramite DNS. Riprovare. (Errore in CSM locale)

    CSR errorErrore CSR.

    Soluzione: Verificare e correggere la risoluzione DNS nel server CSM.

    1. Aprire la CLI di CSM e digitare "nslookup <CSSM_FQDN>"

    Nell'esempio successivo viene indicato che cssm.testlab.local non è stato risolto dal server CSSM.

    The DNS server is not reachableServer DNS non raggiungibile.

    L'output corretto sarebbe il seguente:

    The DNS server is reachableServer DNS raggiungibile.

    Piano d'azione:

    Controllare le configurazioni DNS nel locale CSM.

    1. passare a Rete > Generale > Impostazione DNS.

    Il DNS primario o alternativo deve corrispondere all'indirizzo IP del server DNS.

    DNS settingsImpostazioni DNS.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    25-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Oscar de Jesus Tegoma Aguilar

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti