概要
このドキュメントでは、Cisco Identity Service Engine(ISE)3.3 pxGridダイレクトコネクタを外部REST APIを使用して設定し、エンドポイントデータを取得する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco ISE 3.3
- エンドポイント属性のJSONデータを提供するREST APIサーバ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco pxGrid Directを使用すると、エンドポイント属性のJSONデータを提供する外部REST APIに接続して、このデータをCisco ISEデータベースに取得できるため、エンドポイントの評価と承認を迅速に行うことができます。この機能により、エンドポイントを承認する必要があるたびにエンドポイント属性データを照会する必要がなくなります。取得したデータは、許可ポリシーで使用できます。
pxGrid Directは、pxGrid Direct構成で指定した属性に基づいてデータを収集するのに役立ちます。関連するデータを取得するために、Unique IdentifierとCorrelation Identifierという2つの必須フィールドが使用されます。コネクタにこれらのいずれかのフィールドの値が含まれていない場合は、コネクタからのデータの取得と保存に誤りがある可能性があります。
pxGridダイレクトコネクタの設定
ステップ 1:新しいpxGridダイレクトコネクタを追加します
pxGrid Direct Connectorを設定するには、ISEからAdministration > Network Resources > pxGrid Direct Connectorsの順に移動します。[Add] をクリックします。
pxGrid Direct Connectウィザードのウェルカムページが開いたら、
ステップ 2:pxGridダイレクトコネクタの定義
必要に応じて、コネクタの名前と説明を入力します。[Next] をクリックします。
警告:ホスト名やその他の詳細を確認せずにサーバから提示される証明書をCisco ISEが受け入れることができるようにするには、Skip Certificate Validationsチェックボックスをオンにします。このチェックボックスは、テスト環境の場合、または接続されたサーバが高度にセキュアであると信頼できる場合にのみオンにする必要があります。通常、証明書の検証をスキップすると、ネットワークがMachine-in-the-Middle攻撃に対して脆弱になる可能性があります。
ステップ 3:URL
- エンドポイント属性のJSONデータを提供する外部REST APIのURLを入力します。
- Authenticationの下で、外部REST APIサーバのユーザ名とパスワードを入力します。
- Test Connectionを選択し、Successfulメッセージが表示されるまで待ってから、Nextをクリックします。
ヒント:インクリメンタルURLは設定のオプションです。External REST APIにRequest Argumentsがある場合は、すべてのデータを要求する代わりに、特定の引数でフィルタリングして最新の情報を取得するために使用できます。Request Argumentが、External REST APIサーバのドキュメントに存在することを確認します。
ステップ 4:Schedule
完全同期のスケジュールを選択します。
- デフォルト値:1週間
- 最小値:12時間
- 最大値:1か月
INCREMENTAL SYNCのスケジュールを選択します。このオプションは、ステップ3で設定した場合にのみ表示されます。
- デフォルト値:1日
- 最小値:1時間
- 最大値:1週間
[Next] をクリックします。
ステップ 5:親オブジェクト
属性を検索するには、JSONキーを入力する必要があります。
手順 6:属性
JSONの属性を選択して、ポリシーに使用できる辞書項目を設定します。
このシナリオでは、Dictionaryに含まれる属性は次のとおりです。
- 資産
- IPアドレス
- mac_address
- os_version
- システムID
- sys_update
- u_segmentation_group_tag(セグメンテーショングループのタグ)
[Next] をクリックします。
手順 7:識別子
- CMDBデータベースのエンドポイントに一意で、外部REST APIサーバがJSONを取得する場所であるUnique Identifier属性を選択します。
- ISEに固有で、エンドポイントを認証ポリシーに一致させることができる相関識別子属性を選択します。
[Next] をクリックします。
ステップ 8:要約
pxGrid Direct Connectorが正しく設定されていることを確認します。[Done] をクリックします。
コネクタが完成すると、pxGrid Direct Connectorsページの下に表示されます。
ステップ 9:検証
ISEから、Policy > Policy Elements > Dictionary > System Dictionariesの順に移動します。pxGridダイレクトコネクタの名前でフィルタリングします。これを選択して、Viewをクリックします。
Dictionary Attributesに移動し、ステップ6でDictionary Itemsとして設定された属性のリストを表示します。
Context Visibility pxGrid Directダッシュボード
ISEから、Context Visibility > Endpoints > More > pxGrid Direct Endpointsの順に移動します。 CorrelationとUnique Identifiersに選択した値を持つエンドポイントのリストが表示されます。
関連付けIDをクリックして詳細を表示するか、特定のエンドポイントの属性をダウンロードします。
pxGridダイレクトディクショナリを使用した許可ポリシーの設定
ISEから、Policy > Policy Sets > Select a Policy Set > Authorization Policyの順に移動します。任意の許可ポリシーで歯車アイコンをクリックし、Insertを選択します。
ルールに名前を付け、新しい条件を追加してCondition Studioを開きます。
クリックして新しい属性を追加し、Unclassifiedに移動して、Dictionary filterの下にpxGrid Direct Connectorの名前を指定します。
許可ポリシーで処理できる属性を選択し、値を設定します。Useをクリックします。
条件の結果としてプロファイルを選択します。[Save] をクリックします。
新しいルールをテストします。エンドポイントのRADIUSライブログの詳細、および許可ポリシーの値が、pxGrid Direct Connector属性を持つルール名と同じであることを確認します。
トラブルシュート
ISEから、Operation > Troubleshoot > Debug Wizard > Debug Log Configurationの順に移動します。Primary Admin Node (PAN)を選択し、Editをクリックします。
コンポーネント名をpxGrid Directでフィルタリングし、必要なログレベルを選択します。[Save] をクリックします。
- ISE PAN CLIでは、ログは次の場所にあります。
admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log
- ISE GUIで、Operations > Troubleshoot > Download Logsの順に移動し、ISE PAN > Debug log > Debug Log Type > Application Logsの順に選択します。pxgriddirect-service.logおよびpxgriddirect-connector.logのzipファイルをダウンロードします。
注:
pxgriddirect-serviceのログには、フェッチされたエンドポイントデータが受信され、Cisco ISEデータベースに保存されたかどうかに関連する情報が含まれています。
pxgriddirect-connectorのログには、pxGrid DirectedコネクタがCisco ISEに正常に追加されたかどうかを示す情報が含まれています。