Installa patch su ISE

Opzioni per il download

  • PDF     (661.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:30 settembre 2024
ID documento:215406

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come installare le patch e le domande frequenti ISE durante l'installazione.

Prerequisiti

Requisiti

Conoscenze base di Identity Service Engine (ISE).

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco Identity Service Engine 3.X

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Cisco rilascia le patch ISE con frequenza regolare. Queste patch contengono correzioni di bug e, se necessario, correzioni di sicurezza (ad esempio, le vulnerabilità di Heartbleed e Poodle rilevate con SSL). Ciò garantisce che vengano applicate correzioni di bug, che le vulnerabilità di sicurezza siano collegate e che la soluzione funzioni senza problemi.

Quando si installa una patch su un nodo ISE, il nodo viene riavviato. Riavviare i servizi al termine dell'installazione. Attendere qualche minuto prima di poter accedere di nuovo.

Per evitare interruzioni temporanee, è possibile pianificare l'installazione delle patch durante una manutenzione programmata.

Installare solo le patch applicabili alla versione Cisco distribuita nella rete. Cisco segnala eventuali discrepanze nelle versioni ed errori nel file della patch.

Non è possibile installare una patch di una versione inferiore a quella attualmente installata su Cisco. Analogamente, non è possibile ripristinare le modifiche di una patch di versione precedente se una versione successiva è attualmente installata su Cisco.

Quando si installa una patch dal nodo di amministrazione primario (PAN) che fa parte di una distribuzione distribuita, Cisco ISE installa la patch sul nodo primario e quindi su tutti i nodi secondari della distribuzione. Se l'installazione della patch sul PAN ha esito positivo, Cisco ISE continua quindi l'installazione della patch sui nodi secondari. Se l'installazione non riesce sul PAN, non procede ai nodi secondari. Tuttavia, se l'installazione non riesce su uno qualsiasi dei nodi secondari per qualsiasi motivo, continua comunque con il nodo secondario successivo nella distribuzione.

Quando si installa una patch dalla PAN che fa parte di una distribuzione a due nodi, Cisco installa la patch sul nodo primario e quindi sul nodo secondario.

Se l'installazione delle patch sulla PAN ha esito positivo, Cisco continua l'installazione delle patch sul nodo secondario. Se si verifica un errore sulla PAN, l'installazione non procede al nodo secondario.

È necessario avere il ruolo di super amministratore o amministratore di sistema per installare o ripristinare le patch. Raccogliere il backup della configurazione e il backup operativo prima dell'avvio dell'installazione della patch.

Installazione di patch con GUI

Per scaricare le patch ISE da Cisco.com, selezionare Download > Prodotti > Sicurezza > Access Control and Policy > Identity Services Engine > Identity Services Engine Software(qui).

Download Patch

Nota: Le patch di Cisco ISE sono normalmente cumulative, il che significa che l'installazione della patch 11 include tutte le patch dalla patch 1 alla patch 10. L'installazione delle patch richiede il riavvio del server ISE.

Nota: Verificare il checksum MD5/SHA512 dopo il download del file Patch.

Per applicare la patch su ISE, accedere all'interfaccia grafica PAN (Primary Administration Node) di ISE ed eseguire le seguenti istruzioni: 

Passo 1: passare ad Amministrazione > Sistema > Gestione > Gestione patch > Installa.

Passaggio 2. Fare clic su Sfoglia e scegliere il file patch scaricato da Cisco.com.

Passaggio 3. Fare clic su Install (Installa) per installare la patch.

Install Patch

Installazione di patch con CLI

Passaggio 1. Configurare un repository ISE e inserire la patch ISE richiesta nel repository. Per configurare il repository ISE, fare riferimento a Configurazione del repository sull'ISE

Passaggio 2. Accedere alla CLI di ISE con SSH.

Passaggio 3. Accertarsi che la CLI dell'ISE possa elencare il contenuto del repository.

ise1/admin# show repository FTP_repository

ise-patchbundle-3.3.0.430-Patch2-24041511.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch3-24070910.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz

Passaggio 4. Per installare la patch su un nodo ISE specifico dalla CLI, eseguire il comando in modalità di esecuzione patch install.

patch install

Accedere alla CLI del nodo ISE tramite SSH ed eseguire questi comandi:

ise1/admin# patch install ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Initiating Application Patch installation...

Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Patch successfully installed

Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:36:52 2024):

Trying to stop processes gracefully. Reload might take approximately 3 mins


% This application Install or Upgrade requires reboot, rebooting now...

Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:37:21 2024):

The system is going down for reboot NOW

Installare la patch su tutti i nodi ISE nell'implementazione

Quando si installa una patch dalla PAN che fa parte di una distribuzione distribuita, Cisco ISE installa la patch sul nodo primario e quindi su tutti i nodi secondari della distribuzione. Se l'installazione della patch sulla PAN primaria ha esito positivo, Cisco ISE continua quindi l'installazione della patch sui nodi secondari. Se si verifica un errore sulla PAN, l'installazione non procede ai nodi secondari.

Tuttavia, se l'errore si verifica su uno dei nodi secondari, l'installazione prosegue comunque sul nodo secondario successivo dell'implementazione.

Rollback della patch su tutti i nodi ISE nell'implementazione

Per eseguire il rollback di una patch dai nodi Cisco di un'implementazione, è necessario prima effettuare il rollback delle modifiche dal nodo PAN. Se la procedura ha esito positivo, la patch viene annullata anche sui nodi secondari. Se il processo di rollback non riesce sul PAN, non viene eseguito il rollback delle patch dai nodi secondari. Tuttavia, se il rollback della patch non riesce su un nodo secondario, continua comunque a eseguire il rollback della patch dal nodo secondario successivo nella distribuzione.

Mentre Cisco ISE esegue il rollback della patch dai nodi secondari, è possibile continuare a eseguire altri task dall'interfaccia grafica PAN. I nodi secondari vengono riavviati dopo il rollback.

Per eseguire il rollback delle patch ISE, accedere alla GUI ISE e selezionare Amministrazione > Sistema > Manutenzione > Gestione patch e selezionare la patch richiesta, quindi fare clic su Rollback come mostrato:

Roll Back Patch on all ISE Nodes

Rollback della patch dalla CLI di ISE

Passaggio 1. Accedere tramite SSH al nodo ISE da cui si vuole rimuovere la patch.

Passaggio 2. Verificare le patch installate sul nodo ISE con il comando show version:

ise1/admin# show version

Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64

Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1


Version information of installed applications
---------------------------------------------

Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Dec 17 09:57:23 2024

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024

Passaggio 3. Eseguire il comando patch remove <nome applicazione> <numero file patch da rimuovere>.

            Ad esempio, patch remove ise 4:

ise1/admin# patch remove ise 4
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.

Patch successfully uninstalled

% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8  03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW

Nota: Le patch ISE sono per natura cumulative e non è possibile eseguirne il rollback finché esiste una versione più recente. La versione più recente richiede prima il rollback.

  Per disinstallare la patch precedente, disinstallare prima la patch più recente e quindi la versione precedente della patch.

ise1/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment. 
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.

Verifica

Per visualizzare lo stato di avanzamento dell'installazione delle patch ISE, selezionare Amministrazione > Sistema > Manutenzione > Gestione patch > Mostra stato nodo come mostrato nell'immagine:

Node Status for Patch

Verificare lo stato di installazione della patch dal nodo ISE. Accedere allo stesso server ISE ed eseguire il comando show version:

ise1/admin# show version

Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64

Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1


Version information of installed applications
---------------------------------------------

Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024

Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024

Verificare i messaggi patch riusciti e non riusciti negli allarmi ISE:

Verify Successful and Failed Patch Mesages

Esempio di log di installazione della patch riuscita

ise1/admin# sh logging system ade/ADE.log tail
2024-12-17T09:28:29.162564+00:00 ise1 CARSSetup[2783958]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=system, cause=Application patch install has been inititated, adminipaddress=127.0.0.1, interface=CLI, detail=Patch Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.104724+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:28:29.105444+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name SFTP-REPO
2024-12-17T09:28:29.162700+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2568] [system]: Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.171681+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2734] [system]: Stage area - /storeddata/Installing/.1734427709
2024-12-17T09:28:29.193007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2737] [system]: Getting bundle to local machine
2024-12-17T09:28:29.193704+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer.c[159] [system]: sftp copy in of ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz requested
2024-12-17T09:28:29.194062+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2643] [system]: Server validation successful x.x.x.x
2024-12-17T09:28:29.194784+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: sftp_handler.c[689] [system]: DEBUG: local user: admin UID: 0 sftp_run_parent FD: 9 remote host: x.x.x.x remote user: admin command: get /ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.127455+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2666] [system]: Properties file /tmp/.cars_repodownload.props does not exist
2024-12-17T09:29:24.127573+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2794] [system]: Got bundle at - /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.156171+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2867] [system]: Unbundling package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:41.327286+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2969] [system]: Verifying signature for package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:51.072928+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2993] [system]: Signed bundle /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz confirmed with release key
2024-12-17T09:30:09.180007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3172] [system]: Unbundling done. Verifying input parameters...
2024-12-17T09:30:09.180604+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3214] [system]: Manifest file is at - /storeddata/Installing/.1734427709/manifest.xml
2024-12-17T09:30:09.180652+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3283] [system]: Manifest file appname - ise
2024-12-17T09:30:09.180953+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3388] [system]: Patch bundle contains patch(4) for app version(3.3.0.430)
2024-12-17T09:30:09.183179+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install ci_util.c[322] [system]: Comparing installed app version:(3.3.0.430) and version of app the patch is meant for:(3.3.0.430)
2024-12-17T09:30:09.183259+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3443] [system]: Manifest file pkgtype - CARS
2024-12-17T09:30:09.183288+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4152] [system]: Verifying zip...
2024-12-17T09:30:32.843082+00:00 ise1 root: info:[patchinstall.sh] Current Disable_RSA_PSS=0
2024-12-17T09:30:32.847037+00:00 ise1 root: info:[patchinstall.sh] STARTING PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Installing/.1734427709 INSTALLDIRS:
2024-12-17T09:30:32.850535+00:00 ise1 root: info:[patchinstall.sh] NEW PATCH VER: 4 PRIOR PATCH VER: 0
2024-12-17T09:30:32.708937+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4241] [system]: Executing patch install script patchinstall.sh from patch.zip
2024-12-17T09:30:35.742426+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] In Stop Monit
2024-12-17T09:30:35.755071+00:00 ise1 root: Monit daemon with pid [21765] killed
2024-12-17T09:30:36.816209+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2024-12-17T09:30:37.125419+00:00 ise1 ADEOSShell[2791127]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2024-12-17T09:30:45.772624+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2024-12-17T09:30:45.799438+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2024-12-17T09:30:45.871771+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2024-12-17T09:30:45.898168+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2024-12-17T09:30:45.967252+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2024-12-17T09:30:45.994671+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2024-12-17T09:30:46.074828+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2024-12-17T09:30:46.103781+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2024-12-17T09:30:46.619128+00:00 ise1 root: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2024-12-17T09:30:46.621415+00:00 ise1 ADEOSShell[2791750]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2024-12-17T09:33:00.041627+00:00 ise1 root: info:[patchinstall.sh] ISE 3.3.0.430 patch 4 installFileSystem() INVOKED
2024-12-17T09:33:00.074901+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-core-3.5.7.jar
2024-12-17T09:33:00.085182+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-ws-policy-3.5.7.jar
2024-12-17T09:33:00.094910+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-bindings-soap-3.5.7.jar
2024-12-17T09:33:00.107845+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/prrt-interface-3.3.0.904.6-x86_64.jar
2024-12-17T09:33:00.117375+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-transports-http-3.5.7.jar
Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:36:52 2024):

Trying to stop processes gracefully. Reload takes approximately 3 mins

Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:37:21 2024):

The system is going down for reboot NOW

Session terminated, killing shell... ...killed.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
4.0
30-Sep-2024
Formattazione e testo alternativo aggiornati.
3.0
08-Nov-2023
Certificazione
2.0
09-Sep-2022
Rivisto per mascherare i nomi di file, i comandi, le azioni dell'utente e la navigazione nelle directory dalla traduzione automatica. Grammatica, punteggiatura, struttura e formato secondari.
1.0
20-Apr-2020
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Lakkireddy Abhilasha
    Tecnico di consulenza
  • Prashant Joshi
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti