Introduzione
Questo documento descrive come integrare Cisco ISE 3.4 con MS Excel over Data Connect per recuperare direttamente i dati di reporting dal database ISE.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Identity Services Engine (ISE) 3.4
- Conoscenze base delle query Oracle
- Microsoft Excel
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco ISE versione: 3.4
- Microsoft Excel - Microsoft Office 365
- Windows 11 - 21H2
- ODAC versione -23.7.0.25.01
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Implementazione ISE utilizzata in questa installazione:
Implementazione ISE
Premesse
Data Connect è una funzionalità che espone viste sia dallo schema cepm che dallo schema db ISE mnt. È fornito solo l'accesso in sola lettura ai dati. La funzione Data Connect è supportata da Cisco ISE versione 3.2. È possibile estrarre dati di configurazione o operativi sulla rete in base ai requisiti aziendali e utilizzarli per generare report e dashboard approfonditi.
Configurazione
Fase 1: Configurazione delle impostazioni di ISE Data Connect
Abilita connessione dati
Ad ISE, spostarsiAdministration > System > Settings > Data Connect > Settings
su Enter the password (Data Connect.
Immettere la password). Quindi fare clic suSave.
Abilita funzione di connessione dati su ISE
Prendere nota delle impostazioni di connessione dati, che per impostazione predefinitaUser Name, Hostname, Port, and Service Name.
includonoConnessione dati abilitata sul nodo MNT secondario in una distribuzione distribuita. Per ulteriori informazioni sugli scenari di failover, vedere la Guida dell'amministratore.
Esporta certificato amministratore del nodo MNT secondario (nodo in base alle impostazioni di connessione dati)
Il certificato ISE deve essere considerato attendibile dai client che interrogano ISE su Data Connect. Per esportare il certificato, passare a Administration> System > Certificates > Certificate Management > System Certificates > Select the node > Select the Certificate with Admin usage. Click Export.
Esporta certificato amministratore
Il certificato viene esportato in formato PEM.
Formato certificato
Passaggio 2: Configura computer Windows
Installare il driver ODBC e il client Oracle a 64 bit dal sito Web Oracle
- Scaricare i pacchetti di Instant Client appropriati per la piattaforma in uso. Tutte le installazioni richiedono il pacchetto Basic o Basic Light. In questo caso viene utilizzata la versione 23.7.0.25.01
- Estrarre e spostare i file nella posizione predefinita per il client Oracle come C:\instantclient_23_7, ma se si sta modificando la posizione, assicurarsi che la posizione sia stata aggiunta alla variabile di sistema.
- Aggiungere il percorso di directory alla variabile di ambiente user e System PATH. Nel Pannello di controllo di Windows passare a Variabile di ambiente.
- Scaricare il pacchetto ODBC per la stessa versione.
- Installare il driver ODBC: Estrarre il file ZIP e copiarne il contenuto nella directory in cui è stato installato Instant Client (ad esempio: C:\instantclient_23_7)
- Eseguire il file odbc_install.exe nella directory del client immediato. Se viene visualizzato un avviso di protezione, fare clic su Altro e consentirne comunque l'esecuzione.
Installare JDeveloper Studio per Windows a 64 bit dal sito Web Oracle
In questo Lab è stato utilizzato il file jdev_suite_121300_win64.exe.
Configura file ODAC
- Nel Pannello di controllo di Windows passare a Variabili di ambiente.
- Aggiunge una nuova variabile di sistema per l'archiviazione dei file ODAC.
- Il nome della variabile da utilizzare è TNS_ADMIN e il valore della variabile è il percorso dei file di archiviazione.
- Aggiungere il contenuto come mostrato nel file sqlnet.ora disponibile nella variabile TNS_ADMIN (percorso Lab TNS_ADMIN: C:\instantclient_23_7\network\admin).
#SQLNET.AUTHENTICATION_SERVICES= (NTS)
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA = (DIRECTORY = %path to wallet with the dataconnect certificate which we will be creating in future steps% ))
)
SSL_CLIENT_AUTHENTICATION=FALSE
5. Aggiungere il contenuto come mostrato in totnsnames.oralocated nella variabile TNS_ADMIN Percorso Lab TNS_ADMIN: C:\instantclient_23_7\network\admin). Sostituire l'indirizzo IP dell'host con l'indirizzo IP del nodo di connessione dati.
Nota: Durante la modifica, assicurarsi di applicare un rientro alla configurazione di questi file. Per ulteriori informazioni, visitare il sito Web Oracle
Aggiungi nuova origine dati per ODBC
- Amministratore origine dati Microsoft ODBC gestisce driver di database e origini dati. Questa applicazione si trova in Strumenti di amministrazione nel Pannello di controllo di Windows. Aprire l'applicazione Origini dati ODBC a 64 bit dalla barra di avvio o dalla barra di ricerca di Windows. In alternativa, è possibile aprire direttamente l'applicazione a 64 bit nel percorso "C:\windows\system32\odbcad32.exe".
- Selezionare la scheda DSN utente o DSN di sistema e fare clic su Aggiungi. Selezionare il driver oracle appena aggiunto Oracle in instantclient_23_7 nella finestra Crea nuova origine dati che viene visualizzata.
Aggiungi nuova origine dati
Se il driver non viene visualizzato nella finestra ODBC, controllare il Registro di sistema di Windows per verificare se è visualizzato o meno. Di seguito è riportato il percorso nel Registro di sistema di Windows:
Impostazione del Registro di sistema
Se i driver non vengono visualizzati nel Registro di sistema, provare a riavviare le finestre; in caso contrario, verificare la procedura di installazione del driver ODBC:
- Immettere un nome per l'origine dati. Ad esempio, textexcel.
- Immettere il nome del servizio TNS come indicato in tnsnames.ora. Esempio; Nel presente documento viene utilizzato TestDB.
- Immettere dataconnect come ID utente predefinito per la connessione a ISE DB.
- Fare clic su OK.
Configurazione driver ODBC Oracle
Creare un wallet con l'utilità della riga di comando Orapki
Una volta completata l'installazione di JDeveloper, orapki diventa disponibile all'indirizzo C:\Oracle\Middleware\Oracle_Home\oracle_common\bin.
Percorso Orapki
- Aggiungere il percorso di orapki alla variabile di percorso di Windows (facoltativo).
- È stato creato manualmente un nome di directory Wallet come wallet Orapki nel percorso C:\Users\cisco\Documents\Wallet, prima di eseguire il comando orapki.
- Aprire power shell e runorapki wallet create -wallet %path to wallet% -auto_loginto creare il wallet orapki.
- Immettere una nuova password dell'archivio di attendibilità quando richiesto.
PS C:\Users\cisco> cd C:\Oracle\Middleware\Oracle_Home\oracle_common\bin
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin> .\orapki wallet create -wallet C:\Users\cisco\Documents\Wallet -auto_login
Oracle PKI Tool : Version 12.1.3.0.0
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
Enter password:
Enter password again:
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin>
Importa certificato amministratore del nodo di connessione dati in Orapki Wallet
- Trasferire il certificato ISE scaricato nel passo 1 al client locale e modificare il nome del certificato (opzionale) qualcosa di facile da identificare (In LAB, abbiamo cambiato in secmoncert.pem) e aggiungerlo al client orapki come per lo snippet.
- wallet Runorapki add -wallet %Path to orapki wallet% -trusted_cert -cert %Path to certificate%on PowerShell.
- Immettere una nuova password dell'archivio di attendibilità quando richiesto.
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin> .\orapki wallet add -wallet C:\Users\cisco\Documents\Wallet -trusted_cert -cert C:\Users\cisco\Downloads\secmoncert.pem
Oracle PKI Tool : Version 12.1.3.0.0
Copyright (c) 2004, 2014, Oracle and/or its affiliates. All rights reserved.
Cannot modify auto-login (sso) wallet
Enter wallet password:
PS C:\Oracle\Middleware\Oracle_Home\oracle_common\bin>
Verifica dei file nel percorso del wallet
4. Aggiungere il percorso del wallet al file tosqlnet.ora.
Aggiungere la posizione del wallet nel file Sqlnet.ora
Test configurazione driver ODBC Oracle
Passare a C:\windows\system32\odbcad32.exe e selezionare l'origine dati testexcel appena creata. Fare clic su Configura. Fare clic su Test connessione. Aggiungere la password e fare clic su OK.
Test connessione ODBC
Test della connessione completato.
Connessione riuscita
Configurare Windows MS Excel
- Riavviare/Avviare MS Excel.
- Passare alla scheda Dati e fare clic su Ottieni dati > Da altre origini > Da ODBC.
Utilizzo di ODBC con MS Excel
3. Selezionare il nome origine dati (DSN) creato nei passi precedenti. Ad esempio, textexcel.
Origine dati
4. Inserire dataconnect come ID utente. Quando richiesto, immettere la password configurata per l'utente dataconnect tramite openapi o UI. MS Excel dispone ora di accesso diretto all'ISE. È possibile estrarre dati di configurazione o operativi sulla rete a seconda delle esigenze aziendali e utilizzarli per generare report e dashboard approfonditi. Selezionare la vista del database desiderata e fare clic su Carica o Trasforma dati.
MS Excel connesso ad ISE Database in sola lettura
5. Selezionare l'opzione Trasforma dati e personalizzare il report di dati in base alle proprie esigenze. In questo esempio viene utilizzata la vista RADIUS_AUTHENTICATION_SUMMARY per filtrare le autenticazioni in base al nodo ISE.
Filtrare la colonna ISE_NODE e selezionare il numero PSN specifico.
Di seguito è riportata la query:
= Table.SelectRows(RADIUS_AUTHENTICATION_SUMMARY_View, each ([ISE_NODE] = "ise341-psn1"))
Filtra autenticazione per nodo ISE
Risoluzione dei problemi
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.