はじめに
このドキュメントでは、ISE 3.3以降のバージョンでのトラステッドプラットフォームモジュール(TPM)の重要性について説明します。
前提条件
Cisco Identity Service Engine(ISE)に関する基本的な知識が必要です。
背景説明
トラステッドプラットフォームモジュール(TPM)は、プラットフォーム(サーバ)の認証に使用される情報を安全に格納できるコンピュータチップ(マイクロコントローラ)です。
このような情報には、パスワード、証明書、暗号キーなどがあります。TPMは、プラットフォームの信頼性を維持するために役立つプラットフォーム測定値の格納にも使用できます。
すべての環境でコンピューティングの安全性を確保するには、認証(プラットフォームの真偽を証明できる)と認証(プラットフォームの信頼性と違反がないことを証明するプロセス)が必要です。シャーシの侵入スイッチは、不正な機械的アクセスがサーバに入ったことを通知します。
3.3以降では、ISEサービスを初期化するためにTPMモジュールが必要です。
ISE TPMフレームワークは、Key Manager、TPM Managerという2つのサービスで構成されます。
キーマネージャ
KeyManagerサブシステムは、ノード内の秘密キーを処理するメインコンポーネントです。これには、キーの生成、キーのシール/暗号化、キーのシール/復号化、キーへのアクセスの提供などが含まれます。
キーマネージャは、処理しているすべてのシークレットの名前による参照を保持します。シークレット/キーは、キーマネージャによってディスクに保存されることはありません。プロセスのブートストラップのシークレットは、TPMマネージャを介してTPMから取得され、プロセスメモリに保持されます。
TPMマネージャ
TPMマネージャは、TPMの初期化、シークレットのシール/開封または暗号化/復号化、およびシークレットの安全な保存に対して単独で責任を負います。TPMマネージャは、ディスク上にシークレット/キーをクリアテキストで保存しません。キー/シークレットをディスクに格納する必要がある場合、キー/シークレットはTPMのキーで暗号化され、暗号化形式で格納されます。TPMマネージャーは、情報(名前、日付、ユーザーなど)に関連するキー/シークレットをローカルファイルに保持します。
必要なコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Identity Service Engine 3.3
- SNS 3715アプライアンス
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
症状(エラーメッセージ)
37xxボックスへのISE 3.3のインストールが成功し、初期ネットワーク設定後にサービスが初期化されません。
この問題は、3.3 FCSのインストール時に新しいSNS 37xxで発生するか、他のバージョンからの3.3アップグレード時または3.3 FCSのパッチインストール時に発生する可能性があります
根本原因
TPMモジュールは、3.3以降のバージョンがTPMモジュールを検証するため、SNSで有効にする必要があります。無効になっている場合、TPMは初期化されず、サービスの初期化に失敗します。
必要なログ
CLIから、
このような問題が発生した場合は、SSHアクセスでCLIからサポートバンドルを収集できます。
必要な正確なログはade/ADE.logです。
show logging system ade/ADE.log(登録ユーザ専用)
ログ分析
ケース スタディ 1
根本的な原因: "TPMモジュールが有効になっていません。"
CIMC Compute > BIOS > Configure BIOS > Security > Trusted Platform Module State-Disabledの順に選択します。
TPMが無効です
ほとんどのサービスが実行されていません。
admin#show application status ise(アプリケーションステータスの表示)
ISEプロセス名状態プロセスID
--------------------------------------------------------------------
379643を実行しているデータベースリスナー
175のプロセスを実行するデータベース・サーバ
アプリケーションサーバーが実行されていません
プロファイラデータベースが実行されていません
ISEインデックスエンジンが実行されていません
ADコネクタが実行されていません
M&Tセッションデータベースが実行されていません
M&Tログプロセッサが実行されていません
認証局サービスが実行されていません
ESTサービスが実行されていません
SXPエンジンサービスが無効
TC-NACサービスが無効
PassiveID WMIサービスが無効です
PassiveID Syslogサービスが無効
PassiveID APIサービスが無効
PassiveIDエージェントサービスが無効
PassiveIDエンドポイントサービスが無効
PassiveID SPANサービスが無効
DHCPサーバー(dhcpd)が無効
DNSサーバー(名前付き)が無効です
ISEメッセージングサービスが実行されていません
ISE API Gateway Database Serviceが実行されていない
ISE API Gatewayサービスが実行されていない
ISE pxGrid Directサービスが実行されていません
Segmentation Policy Serviceが無効
REST認証サービスが無効
SSEコネクタが無効
Hermes (pxGrid Cloud Agent)が無効
McTrust (Meraki同期サービス)が無効
ISEノードエクスポータが実行されていない
ISE Prometheusサービスが実行されていません
ISE Grafanaサービスが実行されていません
ISE MNT LogAnalytics Elasticsearchが実行されていません
ISE Logstashサービスが実行されていません
ISE Kibanaサービスが実行されていません
ISEネイティブIPSecサービスが実行されていない
MFCプロファイラが実行されていません
TPM2ManagerServerが初期化されておらず、応答コードが400の場合は、TPMサービスを有効にし、ノードのイメージを再作成してください。
ADE.log:
2025-01-06T08:37:01.164816+00:00 lhrhblink journal[1411]: | 2025-01-06 08:37:01,164 | INFO | 1411 | MainThread | tpm2_manager_server.py:133 | api:health called |
2025-01-06T08:37:01.166050+00:00 lhrhblink journal[1411]: | 2025-01-06 08:37:01,166 | ERROR | 1411 | MainThread | utils.py:26 | TPM2ManagerServerが初期化されていません|
2025-01-06T08:37:01.166179+00:00 lhrhblie journal[1411]: | 2025-01-06 08:37:01,166 | INFO | 1411 | MainThread | web_log.py:206 | [06/Jan/2025:08:37:0 +1 000] "POST /api/system/v1/tpm2-manager/unseal HTTP/1.1" 400 215 "-" "python-requests/2.20.0" |
2025-01-06T08:37:21.670490+00:00 lhrhblink | 2025-01-06 08:37:21,670 | INFO | 372321 | MainThread | key_manager_server.py:87 | KeyManagerServerサービスを初期化しています。しばらくお待ちください。この処理には時間がかかる場合があります。|
2025-01-06T08:37:21.672808+00:00 lhrhblink | 2025-01-06 08:37:21,672 | ERROR | 372321 | MainThread | key_manager_server.py:116 | Could not initialize KeyManagerServer service: TPM2ManagerServer is not initialized |
解決策:TPMモジュールを有効にして、ノードの再イメージ化を実行します。
TPMが有効です
注:ハードウェアTPM設定を調整するか、変更を行うと、ISEが予期しない動作を示すことに注意してください。その場合は、再イメージ化を行う必要があります。
ケース スタディ 2
根本的な原因: TPMキャッシュが原因でTPMの検証に失敗しました。
TPM設定はBIOSで有効になっていますが、ADE.logでロックアウトの問題が発生しています
ADE.log:
2024-09-12T16:01:58.063806+05:30 GRP-ACH-ISE-PANジャーナル[1404]: | 2024-09-12 16:01:58,063 | INFO | 1404 | MainThread | tpm2_manager_server.py:133 | api:health called |
2024-09-12T16:01:58.063933+05:30 GRP-ACH-ISE-PANジャーナル[1404]: | 2024-09-12 16:01:58,063 | INFO | 1404 | MainThread| web_log.py:206 | [202/12 :10:31:58 +0000] "GET /api/system/v1/tpm2-manager/health HTTP/1.1" 200 158 "-" "python-requests/2.20.0" |
2024-09-12T16:01:58.064968+05:30 GRP-ACH-ISE-PANジャーナル[1404]: | 2024-09-12 16:01:58,064 | INFO | 1404 | MainThread | tpm2_manager_server.py:184 | api: init | called |
2024-09-12T16:01:58.068413+05:30 GRP-ACH-ISE-PANジャーナル[1404]: | 2024-09-12 16:01:58,068 | INFO | 1404 | MainThread | tpm2_proxy.py:79 | Running command: tpm2_clear |
2024-09-12T16:01:58.075085+05:30 GRP-ACH-ISE-PANジャーナル[1404]: | 2024-09-12 16:01:58,074 | ERROR | 1404 | MainThread | tpm2_proxy.py:85 | Could not run2_clear Caused By: :warn(2.0): TPMがDAロックアウトモードであるため、DA保護の対象となるオブジェクトの承認は現在許可されていません|
2024-09-12T16:01:58.075194+05:30 GRP-ACH-ISE-PANジャーナル[1404]: | 2024-09-12 16:01:58,075 |エラー| 1404 |メインスレッド| tpm2_manager_server.py:249 | ERROR: authorwarn(2.0): TPMがDAロックアウトモードであるため、DA保護の対象となるオブジェクトの分類は現在許可されていません|
インストールのプロセス中に、KVMコンソールでエラーが発生しました。
ISEデータベースコンテンツを抽出しています…
ISEデータベースプロセスを開始しています…
スレッド「min」com.cisco.cpm.exceptionsでの例外。TPMException: TPMスクリプトの実行がゼロ以外のリターンコードで失敗しました。 )
com.cisco.cpm.auth.encryptor.crypt.TPPUL11.getResult(TPMUtil.java:53
com.cisco.cpm.auth.encryptor.crypt.TPMUL11.encrypt(TPER11.java:38)(com.cisco.cpm.auth.encryptor.crypt.KEKGenerator.returnkey(KEKGenerator.java:36)内)
com.cisco.cpm.auth.encryptor.crypt.KEKGenerator.main(KEKGenerator.java:77)を参照してください。
java.lang.IllegalArgumentException:キーが空です
javax.crypto.specで定義されています。SecretKeySpec.<init>(SecretKeySpec. Java:96)(com.cisco.cpm.auth.encryptor.crypt.Crypt.<init>(Crypt.java:73))
com.cisco.cpm.auth.encryptor.crypt.DefaultCryptEncryptor encrypt(DefaultCryptEncryptar.java:81)で暗号化
com.cisco.cpm.auth.encryptorで確認できます。PassudHelper.ma入力(PassalHelper.java:46)
続いて、データベースのプライミングが表示される場合があります。
エラーログ:
###############################################################################
エラー:データベースのプライミングに失敗しました!
これは、ネットワークインターフェイスの設定が正しくないか、アプライアンスまたはVM上のリソースが不足していることが原因である可能性があります。問題を修正し、次のCLIを実行してデータベースを再プライミングしてください。
「application reset-config ise」
############################
解決方法: TPMモジュールがロックアウトされていることを確認した場合、TPMキャッシュをリセットすると役立ちます。
実行する手順:
vKVMを起動し、サーバを再起動する必要があります
シスコのロゴが表示されたとき
- F2を押します(これはBIOSメニューです)。
- TPMクリア
- Power Cycle
