はじめに
このドキュメントでは、Identity Services Engine(ISE)でリポジトリを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Identity Services Engine(ISE)の基礎知識
- ファイル転送プロトコル(FTP)サーバとSSHファイル転送プロトコル(SFTP)サーバに関する基本的な知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Identity Service Engine(ISE)バージョン2.x
- 機能しているFTPサーバとSFTPサーバ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
シスコでは、管理者ポータルを使用してリポジトリを作成および削除できます。次のタイプのリポジトリを作成できます。
- DISK
- FTP
- SFTP
- NFS
- CD-ROM
- HTTP
- HTTPS
注:リポジトリのサイズは、小規模な導入(100エンドポイント以下)では10 GB、中規模な導入では100 GB、大規模な導入では200 GBにすることをお勧めします。
ISEリポジトリは、ISEのGUIとCLIの両方から設定でき、次の目的で使用できます。
- ISE設定および運用データのバックアップと復元
- ISEノードのアップグレード
- パッチのインストール
- ISEからのデータ(レポート)のエクスポート
- ISEノードからのサポートバンドルのエクスポート
注:ISEノードのCLIから設定されたリポジトリは各ノードに対してローカルであり、ノードのリロード時に削除されます。ISEのGUIから設定されたリポジトリは、導入環境内のすべてのノードに複製され、ノードのリロード時には削除されません。
コンフィギュレーション
FTPリポジトリの設定
GUIからのFTPリポジトリの設定
ステップ 1:ISEでリポジトリを設定するには、ISE GUIにログインし、 Administration > System > Maintenance > Repository
を参照。次に、 Add
をクリックします。
ステップ 2:提供 Repository Name
選択します FTP
プロトコルとして使用します。次に、 Server Name, Path, User Name
,と Password
をクリックし、 Submit
をクリックします。
CLIからのFTPリポジトリの設定
SSH経由でISEノードのCLIにログインし、次のコマンドを実行します。
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository FTP-Repo
ise/admin(config-Repository)# url ftp://10.106.37.174/
ise/adminconfig-Repository)# user <Username> password plain <Password>
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
SFTPリポジトリの設定
GUIからのSFTPリポジトリの設定
ステップ 1:ISEでリポジトリを設定するには、ISE GUIにログインし、 Administration > System > Maintenance > Repository
を参照。次に、 Add
をクリックします。
ステップ 2:提供 Repository Name
選択します SFTP
プロトコルとして使用します。次に、 Server Name, Path, User Name
,と Password
をクリックし、 Submit
をクリックします。
ステップ 3:次の操作を行います。なめる Submit
,a ポップアップメッセージが表示されます。次の図に示すように、CLIを使用してSFTPサーバのホストキーを追加するように求めるメッセージが表示されます。
ステップ 4:SSH経由でISEノードのCLIにログインし、次のコマンドを使用します crypto host_key add host <ip address of the server>
ホストキーを追加します。
ise/admin# crypto host_key add host 10.106.37.34
host key fingerprint added
Operating in CiscoSSL FIPS mode
# Host 10.106.37.34 found: line 1
10.106.37.34 RSA SHA256:exFnNITDhafaNPFr35x6kC1pR0iTP6xS+LBmtIXPfnk
ise/admin#
CLIからのSFTPリポジトリの設定
SSH を介して ISE ノードの CLI にログインし、次のコマンドを実行します。
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository SFTP-Repo
ise/admin(config-Repository)# url sftp://10.106.37.34/
ise/adminconfig-Repository)# user <Username> password plain <Password>
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
NFSリポジトリの構成
GUIからのNFSリポジトリの設定
ステップ 1:ISEでリポジトリを設定するには、ISE GUIにログインし、 Administration > System > Maintenance > Repository
を参照。次に、図に示すように、Addをクリックします。
ステップ 2:提供 Repository Name
選択します NFS
プロトコルとして使用します。次に、 Server Name
と Path
をクリックし、 Submit
をクリックします。
CLIからのNFSリポジトリの設定
SSH を介して ISE ノードの CLI にログインし、次のコマンドを実行します。
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository NFS-Repo
ise/admin(config-Repository)# url nfs://10.106.37.200:/nfs-repo
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
ISEローカルリポジトリの設定
GUIからのローカルリポジトリの設定
ステップ 1:ISEでリポジトリを設定するには、ISE GUIにログインし、 Administration > System > Maintenance > Repository
を参照。次に、 Add
をクリックします。
ステップ 2:提供 Repository Name
選択します DISK
プロトコルとして使用します。次に、 Path
をクリックして Submit
をクリックします。
CLIからのローカルリポジトリの設定
SSH を介して ISE ノードの CLI にログインし、次のコマンドを実行します。
ise/admin#
ise/admin# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ise/admin(config)# repository Local-Repo
ise/admin(config-Repository)# url disk:/
ise/admin(config-Repository)# exit
ise/admin(config)# exit
ise/admin#
注:ローカルリポジトリは、ISEディスクにローカルにデータを保存します。
確認
リポジトリは、ISEサーバのGUIとCLIの両方から確認できます。
GUIを使用した確認
GUIを使用してリポジトリを検証するには、 Administration > System > Maintenance > Repository
をクリックし、リポジトリを選択して Validate
をクリックします。
クリックした後 Validate
を取得する必要があります。 Repository validated successfully
応答をGUIに表示します。
CLIを使用した確認
CLIからリポジトリを検証するには、SSH経由でISEノードにログインし、コマンドを実行します show repository <name of the repository>
を参照。コマンドの出力には、リポジトリに存在するファイルが一覧表示されます。
ise/admin#
ise/admin# show repository FTP-Repo
Config-Backup-CFG10-200307-1043.tar.gpg
ise/admin#
トラブルシュート
ISEでリポジトリをデバッグするには、次のデバッグを使用します。
ise-1/pan# debug copy 7
ise-1/pan# debug transfer 7
ise-1/pan#
ise-1/pan# 6 [25683]:[info] transfer: cars_xfer.c[220] [system]: ftp dir of repository FTP-Repo requested
7 [25683]:[debug] transfer: cars_xfer_util.c[2017] [system]: ftp get dir for repos FTP-Repo
7 [25683]:[debug] transfer: cars_xfer_util.c[2029] [system]: initializing curl
7 [25683]:[debug] transfer: cars_xfer_util.c[2040] [system]: full url is ftp://10.106.37.174/ISE/
7 [25683]:[debug] transfer: cars_xfer_util.c[1928] [system]: initializing curl
7 [25683]:[debug] transfer: cars_xfer_util.c[1941] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200307-1043.tar.gpg
7 [25683]:[debug] transfer: cars_xfer_util.c[1962] [system]: res: 0
7 [25683]:[debug] transfer: cars_xfer_util.c[1966] [system]: res: 0-----filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020
7 [25683]:[debug] transfer: cars_xfer_util.c[1972] [system]: filetime Config-Backup-CFG10-200307-1043.tar.gpg: Sat Mar 7 10:55:39 2020
7 [25683]:[debug] transfer: cars_xfer_util.c[1976] [system]: filesize Config-Backup-CFG10-200307-1043.tar.gpg: 181943580 bytes
6 [25683]:[info] transfer: cars_xfer.c[130] [system]: ftp copy out of /opt/backup/backup-Config-Backup-1587433372/Config-Backup-CFG10-200421-0712.tar.gpg requested
6 [25683]:[info] transfer: cars_xfer_util.c[787] [system]: curl version: libcurl/7.29.0 OpenSSL/1.0.2s zlib/1.2.7 libidn/1.28 libssh2/1.4.2
7 [25683]:[debug] transfer: cars_xfer_util.c[799] [system]: full url is ftp://10.106.37.174/ISE/Config-Backup-CFG10-200421-0712.tar.gpg
次に示すように、デバッグは無効になっています。
ise-1/pan#
ise-1/pan# no debug copy 7
ise-1/pan# no debug transfer 7
ise-1/pan#
ISEと設定済みリポジトリサーバの間で適切な通信が行われるように、ISE GUIからパケットキャプチャを設定します。
- Operations > Troubleshoot > Diagnostic tools > TCP Dumpの順に移動します。
- 「フィルタ」に適切な値を入力し、「フォーマット」を選択します。
- [Start(スタート)] をクリックします。
テストする必要があるリポジトリへのトラフィックをトリガーするには、 Administration > System > Maintenance > Repository
をクリックし、リポジトリを選択して Validate
を参照。次に、 Operations > Troubleshoot > Diagnostic tools > TCP Dump
をクリックし、 Stop
をクリックし、図に示すようにパケットキャプチャをダウンロードします。