ISEへのパッチのインストール
はじめに
このドキュメントでは、インストール時にISEパッチとFAQをインストールする方法について説明します。
前提条件
要件
Identity Service Engine(ISE)に関する基礎知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Identity Service Engine(ISE)3.X
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド情報
シスコでは、半定期的に ISE のパッチをリリースしています。これらのパッチには、バグ修正と、必要に応じたセキュリティ修正(SSLで発見されたHeartbleedやPoodleの脆弱性など)が含まれています。 これにより、バグ修正が適用され、セキュリティ上の脆弱性が取り込まれ、ソリューションがシームレスに機能するようになります。
ISEノードにパッチをインストールすると、ノードがリブートされます。インストールが完了したら、サービスを再起動します。再度ログインできるようになるまで数分待ちます。
メンテナンス時間帯にパッチをインストールするようにスケジュールすることで、一時的な機能停止を回避することができます。
ネットワークに導入されているシスコのバージョンに該当するパッチのみをインストールしてください。Cisco は、パッチファイルのバージョンの不一致とあらゆるエラーをレポートします。
シスコに現在インストールされているパッチよりも低いバージョンのパッチはインストールできません。同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco にインストール済みの場合は、ロールバックはできません。
分散導入の一部であるプライマリ管理ノード(PAN)からパッチをインストールすると、Cisco ISEはパッチをプライマリノードにインストールしてから、導入環境内のすべてのセカンダリノードにインストールします。 PANへのパッチインストールが正常に完了すると、Cisco ISEはセカンダリノードへのパッチインストールを続行します。PANで障害が発生した場合、インストールはセカンダリノードに進みません。 ただし、何らかの理由でセカンダリノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリノードでインストールが実行されます。
2ノード展開の一部であるパッチをPANからインストールする場合、シスコはプライマリノードにパッチをインストールしてから、セカンダリノードにパッチをインストールします。
PANへのパッチのインストールが成功した場合、シスコはセカンダリノードへのパッチのインストールを続行します。PANで障害が発生した場合、インストールはセカンダリノードに進みません。
GUIを使用したパッチインストール
Cisco.comからISEパッチをダウンロードするには、Downloads > Products > Security > Access Control and Policy > Identity Services Engine > Identity Services Engine Software(ここ)の順に移動します。
ISEにパッチを適用するには、ISEプライマリ管理ノード(PAN)のGUIにログインし、次の手順を実行します。
ステップ 1:Administration > System > Maintenance > Patch Management > Installの順に選択します。
ステップ 2Browseをクリックし、Cisco.comからダウンロードしたパッチファイルを選択します。
ステップ 3Installをクリックしてパッチをインストールします。
CLIを使用したパッチインストール
ステップ 1:ISEリポジトリを設定し、必要なISEパッチをリポジトリに配置します。ISE リポジトリを設定するには、『How to Configure Repository on ISE』を参照してください。
ステップ 2SSHを使用してISE CLIにログインします。
ステップ 3ISE CLIがリポジトリの内容をリストできることを確認します。
ise1/admin# show repository FTP_repository
ise-patchbundle-3.3.0.430-Patch2-24041511.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch3-24070910.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
ステップ 4CLIから特定のISEノードにパッチをインストールするには、EXECモードでpatch installコマンドを実行します。
patch install
SSH を介して ISE ノードの CLI にログインし、次のコマンドを実行します。
ise1/admin# patch install ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Patch successfully installed
Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:36:52 2024):
Trying to stop processes gracefully. Reload might take approximately 3 mins
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:37:21 2024):
The system is going down for reboot NOW
導入環境内のすべてのISEノードにパッチをインストールする
分散導入の一部であるPANからパッチをインストールすると、Cisco ISEはパッチをプライマリノードにインストールしてから、導入環境内のすべてのセカンダリノードにインストールします。 パッチのインストールがプライマリ PAN で成功すると、Cisco ISE はセカンダリノードでパッチのインストールを続行します。PANで障害が発生した場合、インストールはセカンダリノードに進みません。
ただし、何らかの理由でセカンダリノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリノードでインストールが実行されます。
導入環境内のすべてのISEノードでのパッチのロールバック
展開の Cisco ISE ノードからパッチをロールバックするには、最初に PAN から変更をロールバックします。これに成功すると、セカンダリノードからパッチがロールバックされます。PAN でロールバックプロセスが失敗した場合は、セカンダリノードからのパッチロールバックは行われません。 ただし、いずれかのセカンダリノードでパッチのロールバックが失敗しても、展開内の次のセカンダリノードからのパッチのロールバックは継続されます。
Cisco ISE によるセカンダリノードからのパッチロールバックが進行中のときも、引き続き PAN GUI から他のタスクを実行できます。 ロールバック後にセカンダリノードが再起動します。
ISEパッチをロールバックするには、ISE GUIにログインし、Administration > System > Maintenance > Patch Managementの順に選択し、次に示すように必要なパッチを選択して Rollbackをクリックします。
ISE CLIからのパッチのロールバック
ステップ 1: パッチを削除するISEノードにSSHで接続します。
ステップ 2show versionコマンドを使用して、ISEノードにインストールされたパッチを確認します。
ise1/admin# show version
Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Dec 17 09:57:23 2024
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024
ステップ 3patch remove <application name> <patch file number to be removed>コマンドを実行します。
たとえば、patch remove ise 4を使用します。
ise1/admin# patch remove ise 4
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Patch successfully uninstalled
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
以前のパッチをアンインストールするには、最初に最新のパッチをアンインストールし、次に以前のパッチバージョンをアンインストールします。
ise1/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.
確認
ISEパッチインストールの進行状況を表示するには、図に示すように、Administration > System > Maintenance > Patch Management > Show Node Statusの順に移動します。
ISEノードからパッチインストールのステータスを確認します。同じISEサーバにログインし、show versionコマンドを実行します。
ise1/admin# show version
Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024
ISEアラームで、成功および失敗したパッチメッセージを確認します。
パッチのインストールが成功したログの参照情報
ise1/admin# sh logging system ade/ADE.log tail
2024-12-17T09:28:29.162564+00:00 ise1 CARSSetup[2783958]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=system, cause=Application patch install has been inititated, adminipaddress=127.0.0.1, interface=CLI, detail=Patch Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.104724+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:28:29.105444+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name SFTP-REPO
2024-12-17T09:28:29.162700+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2568] [system]: Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.171681+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2734] [system]: Stage area - /storeddata/Installing/.1734427709
2024-12-17T09:28:29.193007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2737] [system]: Getting bundle to local machine
2024-12-17T09:28:29.193704+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer.c[159] [system]: sftp copy in of ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz requested
2024-12-17T09:28:29.194062+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2643] [system]: Server validation successful x.x.x.x
2024-12-17T09:28:29.194784+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: sftp_handler.c[689] [system]: DEBUG: local user: admin UID: 0 sftp_run_parent FD: 9 remote host: x.x.x.x remote user: admin command: get /ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.127455+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2666] [system]: Properties file /tmp/.cars_repodownload.props does not exist
2024-12-17T09:29:24.127573+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2794] [system]: Got bundle at - /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.156171+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2867] [system]: Unbundling package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:41.327286+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2969] [system]: Verifying signature for package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:51.072928+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2993] [system]: Signed bundle /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz confirmed with release key
2024-12-17T09:30:09.180007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3172] [system]: Unbundling done. Verifying input parameters...
2024-12-17T09:30:09.180604+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3214] [system]: Manifest file is at - /storeddata/Installing/.1734427709/manifest.xml
2024-12-17T09:30:09.180652+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3283] [system]: Manifest file appname - ise
2024-12-17T09:30:09.180953+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3388] [system]: Patch bundle contains patch(4) for app version(3.3.0.430)
2024-12-17T09:30:09.183179+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install ci_util.c[322] [system]: Comparing installed app version:(3.3.0.430) and version of app the patch is meant for:(3.3.0.430)
2024-12-17T09:30:09.183259+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3443] [system]: Manifest file pkgtype - CARS
2024-12-17T09:30:09.183288+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4152] [system]: Verifying zip...
2024-12-17T09:30:32.843082+00:00 ise1 root: info:[patchinstall.sh] Current Disable_RSA_PSS=0
2024-12-17T09:30:32.847037+00:00 ise1 root: info:[patchinstall.sh] STARTING PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Installing/.1734427709 INSTALLDIRS:
2024-12-17T09:30:32.850535+00:00 ise1 root: info:[patchinstall.sh] NEW PATCH VER: 4 PRIOR PATCH VER: 0
2024-12-17T09:30:32.708937+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4241] [system]: Executing patch install script patchinstall.sh from patch.zip
2024-12-17T09:30:35.742426+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] In Stop Monit
2024-12-17T09:30:35.755071+00:00 ise1 root: Monit daemon with pid [21765] killed
2024-12-17T09:30:36.816209+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2024-12-17T09:30:37.125419+00:00 ise1 ADEOSShell[2791127]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2024-12-17T09:30:45.772624+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2024-12-17T09:30:45.799438+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2024-12-17T09:30:45.871771+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2024-12-17T09:30:45.898168+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2024-12-17T09:30:45.967252+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2024-12-17T09:30:45.994671+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2024-12-17T09:30:46.074828+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2024-12-17T09:30:46.103781+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2024-12-17T09:30:46.619128+00:00 ise1 root: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2024-12-17T09:30:46.621415+00:00 ise1 ADEOSShell[2791750]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2024-12-17T09:33:00.041627+00:00 ise1 root: info:[patchinstall.sh] ISE 3.3.0.430 patch 4 installFileSystem() INVOKED
2024-12-17T09:33:00.074901+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-core-3.5.7.jar
2024-12-17T09:33:00.085182+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-ws-policy-3.5.7.jar
2024-12-17T09:33:00.094910+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-bindings-soap-3.5.7.jar
2024-12-17T09:33:00.107845+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/prrt-interface-3.3.0.904.6-x86_64.jar
2024-12-17T09:33:00.117375+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-transports-http-3.5.7.jar
Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:36:52 2024):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:37:21 2024):
The system is going down for reboot NOW
Session terminated, killing shell... ...killed.
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
4.0 |
30-Sep-2024
|
代替テキストとフォーマットを更新。 |
3.0 |
08-Nov-2023
|
再認定 |
2.0 |
09-Sep-2022
|
ファイル名、コマンド、ユーザアクション、および機械翻訳からのディレクトリナビゲーションをマスクするように修正。文法、句読点、構造、書式が不十分です。 |
1.0 |
20-Apr-2020
|
初版 |
フィードバック