ISE에 패치 설치
소개
이 문서에서는 설치 중에 ISE 패치 및 FAQ를 설치하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
ISE(Identity Service Engine)에 대한 기본 지식
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Identity Service Engine 3.X
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
시스코에서는 ISE 패치를 반 정기적으로 릴리스합니다. 이러한 패치에는 버그 수정 사항과 필요한 경우 보안 수정 사항(예: SSL로 검색된 하트블리드 및 푸들 취약성)이 포함됩니다. 이렇게 하면 버그 수정 사항이 적용되고, 보안 취약성이 연결되어 있으며, 솔루션이 원활하게 작동합니다.
ISE 노드에 패치를 설치하면 노드가 재부팅됩니다. 설치가 완료되면 서비스를 다시 시작합니다. 다시 로그인하려면 몇 분 정도 기다리십시오.
패치 설치를 유지 보수 기간으로 예약하면 일시적인 중단을 방지할 수 있습니다.
네트워크에 구축된 Cisco 버전에 적용할 수 있는 패치만 설치합니다. 시스코에서는 모든 버전 불일치와 패치 파일의 오류를 보고합니다.
현재 Cisco에 설치된 패치보다 낮은 버전의 패치는 설치할 수 없습니다. 마찬가지로, 상위 버전이 현재 시스코에 설치된 경우 하위 버전의 패치 변경 사항을 롤백할 수 없습니다.
분산형 구축의 일부인 PAN(기본 관리 노드)에서 패치를 설치하면 Cisco ISE는 주 노드에 패치를 설치한 다음 구축의 모든 보조 노드에 패치를 설치합니다. PAN에서 패치 설치가 성공하면 Cisco ISE는 보조 노드에서 패치 설치를 계속합니다. PAN에서 실패하면 보조 노드로 설치가 진행되지 않습니다. 그러나 어떤 이유로든 보조 노드에서 설치가 실패하면 구축의 다음 보조 노드로 계속 진행됩니다.
2노드 구축의 일부인 PAN에서 패치를 설치하면 Cisco는 기본 노드와 보조 노드에 패치를 설치합니다.
PAN에서 패치 설치가 성공하면 Cisco는 보조 노드에서 패치 설치를 계속합니다. PAN에서 장애가 발생하면 보조 노드로 설치가 진행되지 않습니다.
GUI를 사용한 패치 설치
Cisco.com에서 ISE 패치를 다운로드하려면 Downloads(다운로드) > Products(제품) > Security(보안) > Access Control and Policy(액세스 제어 및 정책) > Identity Services Engine(ISE 엔진) > Identity Services Engine Software(여기)로 이동합니다.
ISE에 패치를 적용하려면 ISE PAN(Primary Administration Node) GUI에 로그인하고 다음 명령을 실행합니다.
1단계. Administration(관리) > System(시스템) > Maintenance(유지 관리) > Patch Management(패치 관리) > Install(설치)로 이동합니다.
2단계. Browse(찾아보기)를 클릭하고 Cisco.com에서 다운로드한 패치 파일을 선택합니다.
3단계. 설치를 클릭하고 패치를 설치합니다.
CLI를 사용한 패치 설치
1단계. ISE 저장소를 설정하고 필요한 ISE 패치를 저장소에 배치합니다. ISE 저장소를 설정하려면 ISE에서 저장소를 설정하는 방법을 참조하십시오.
2단계. SSH를 사용하여 ISE CLI에 로그인합니다.
3단계. ISE CLI에서 저장소 콘텐츠를 나열할 수 있는지 확인합니다.
ise1/admin# show repository FTP_repository
ise-patchbundle-3.3.0.430-Patch2-24041511.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch3-24070910.SPA.x86_64.tar.gz
ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
4단계. CLI에서 특정 ISE 노드에 패치를 설치하려면 EXEC 모드에서 patch install 명령을 실행합니다.
patch install
SSH를 통해 ISE 노드의 CLI에 로그인하고 다음 명령을 실행합니다.
ise1/admin# patch install ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz FTP_repository
% Warning: Patch will be installed only on this node. Install using Primary Administration node GUI to install on all nodes in deployment. Continue? (yes/no) [yes] ? yes
Initiating Application Patch installation...
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Patch successfully installed
Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:36:52 2024):
Trying to stop processes gracefully. Reload might take approximately 3 mins
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/3) (Tue Dec 17 09:37:21 2024):
The system is going down for reboot NOW
구축의 모든 ISE 노드에 패치를 설치합니다
분산형 구축의 일부인 PAN에서 패치를 설치하면 Cisco ISE는 주 노드에 패치를 설치한 다음 구축의 모든 보조 노드에 패치를 설치합니다. 주 PAN에서 패치 설치가 성공하면 Cisco ISE는 보조 노드에서 패치 설치를 계속합니다. PAN에서 장애가 발생하면 보조 노드로 설치가 진행되지 않습니다.
그러나 보조 노드에서 특정 이유로 설치가 실패할 경우 구축의 다음 보조 노드로 계속 진행합니다.
구축의 모든 ISE 노드에서 패치 롤백
구축의 Cisco ISE 노드에서 패치를 롤백하려면 먼저 PAN에서 변경 사항을 롤백해야 합니다. 작업이 성공한 경우 패치가 보조 노드에서 롤백됩니다. PAN에서 롤백 프로세스가 실패하면 패치는 보조 노드에서 롤백되지 않습니다. 그러나 보조 노드에서 패치 롤백이 실패하면 배포의 다음 보조 노드에서 패치를 롤백하는 작업이 계속 진행됩니다.
Cisco ISE가 보조 노드에서 패치를 롤백하는 동안 PAN GUI에서 다른 작업을 계속 수행할 수 있습니다. 보조 노드는 롤백 후 다시 시작됩니다.
ISE 패치를 롤백하려면 ISE GUI에 로그인하고 Administration(관리) > System(시스템) > Maintenance(유지 관리) > Patch Management(패치 관리)로 이동하여 필요한 패치를 선택하고 다음과 같이 Rollback(롤백)을 클릭합니다.
ISE CLI에서 패치 롤백
1단계. 패치를 제거하려는 ISE 노드에 대한 SSH입니다.
2단계. show version 명령을 사용하여 ISE 노드에 설치된 패치를 확인합니다.
ise1/admin# show version
Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 1
Install Date : Tue Dec 17 09:57:23 2024
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024
3단계. patch remove <application name> <patch file number to be removed> 명령을 실행합니다.
예를 들어, 패치 ise 4를 제거 합니다.
ise1/admin# patch remove ise 4
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Patch successfully uninstalled
% This application Install or Upgrade requires reboot, rebooting now...
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:16:29 2020):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
Broadcast message from root@ISE (pts/1) (Sun Mar 8 03:17:41 2020):
The system is going down for reboot NOW
이전 패치를 제거하려면 먼저 최신 패치를 제거한 다음 이전 패치 버전을 제거합니다.
ise1/admin#patch remove ise 1
Continue with application patch uninstall? [y/n] y
% Warning: Patch is removed only from this node. Remove patch with Primary Administration node GUI to remove from all nodes in deployment.
Continue? (yes/no) [yes] ? yes
% Patch cannot be rolled back while a newer version exists, which needs to rolled back first.
다음을 확인합니다.
ISE 패치 설치 진행률을 보려면 이미지에 표시된 대로 Administration > System > Maintenance > Patch Management > Show Node Status로 이동합니다.
ISE 노드에서 패치 설치 상태를 확인합니다. 동일한 ISE 서버에 로그인하고 show version 명령을 실행합니다.
ise1/admin# show version
Cisco Application Deployment Engine OS Release: 3.3
ADE-OS Build Version: 3.3.P.097
ADE-OS System Architecture: x86_64
Copyright (c) 2005-2023 by Cisco Systems, Inc.
All rights reserved.
Hostname: ise-aaa-dnac1
Version information of installed applications
---------------------------------------------
Cisco Identity Services Engine
---------------------------------------------
Version : 3.3.0.430
Build Date : Tue Jul 4 00:31:18 2023
Install Date : Sat Nov 9 22:42:47 2024
Cisco Identity Services Engine Patch
---------------------------------------------
Version : 4
Install Date : Tue Dec 17 11:49:53 2024
ISE 경보에서 성공 및 실패한 패치 메시지를 확인합니다.
패치 설치 성공 로그 참조
ise1/admin# sh logging system ade/ADE.log tail
2024-12-17T09:28:29.162564+00:00 ise1 CARSSetup[2783958]: ADEAUDIT 2030, type=PATCH INSTALL, name=PATCH INSTALL STARTED, username=system, cause=Application patch install has been inititated, adminipaddress=127.0.0.1, interface=CLI, detail=Patch Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.104724+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:28:29.105444+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] user: cars_install.c[5641] [system]: Illegal characters or double dots not found in name SFTP-REPO
2024-12-17T09:28:29.162700+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2568] [system]: Install initiated with bundle - ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz, repo - SFTP-REPO
2024-12-17T09:28:29.171681+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2734] [system]: Stage area - /storeddata/Installing/.1734427709
2024-12-17T09:28:29.193007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2737] [system]: Getting bundle to local machine
2024-12-17T09:28:29.193704+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer.c[159] [system]: sftp copy in of ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz requested
2024-12-17T09:28:29.194062+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2643] [system]: Server validation successful x.x.x.x
2024-12-17T09:28:29.194784+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: sftp_handler.c[689] [system]: DEBUG: local user: admin UID: 0 sftp_run_parent FD: 9 remote host: x.x.x.x remote user: admin command: get /ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.127455+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] transfer: cars_xfer_util.c[2666] [system]: Properties file /tmp/.cars_repodownload.props does not exist
2024-12-17T09:29:24.127573+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2794] [system]: Got bundle at - /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:24.156171+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2867] [system]: Unbundling package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:41.327286+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2969] [system]: Verifying signature for package ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz
2024-12-17T09:29:51.072928+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[2993] [system]: Signed bundle /storeddata/Installing/.1734427709/ise-patchbundle-3.3.0.430-Patch4-24102504.SPA.x86_64.tar.gz confirmed with release key
2024-12-17T09:30:09.180007+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3172] [system]: Unbundling done. Verifying input parameters...
2024-12-17T09:30:09.180604+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3214] [system]: Manifest file is at - /storeddata/Installing/.1734427709/manifest.xml
2024-12-17T09:30:09.180652+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3283] [system]: Manifest file appname - ise
2024-12-17T09:30:09.180953+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3388] [system]: Patch bundle contains patch(4) for app version(3.3.0.430)
2024-12-17T09:30:09.183179+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install ci_util.c[322] [system]: Comparing installed app version:(3.3.0.430) and version of app the patch is meant for:(3.3.0.430)
2024-12-17T09:30:09.183259+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[3443] [system]: Manifest file pkgtype - CARS
2024-12-17T09:30:09.183288+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4152] [system]: Verifying zip...
2024-12-17T09:30:32.843082+00:00 ise1 root: info:[patchinstall.sh] Current Disable_RSA_PSS=0
2024-12-17T09:30:32.847037+00:00 ise1 root: info:[patchinstall.sh] STARTING PATCH INSTALL SCRIPT. PATCHDIR: /storeddata/Installing/.1734427709 INSTALLDIRS:
2024-12-17T09:30:32.850535+00:00 ise1 root: info:[patchinstall.sh] NEW PATCH VER: 4 PRIOR PATCH VER: 0
2024-12-17T09:30:32.708937+00:00 ise1 ADE-SERVICE[1379]: [2783958]:[info] application:install cars_install.c[4241] [system]: Executing patch install script patchinstall.sh from patch.zip
2024-12-17T09:30:35.742426+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] In Stop Monit
2024-12-17T09:30:35.755071+00:00 ise1 root: Monit daemon with pid [21765] killed
2024-12-17T09:30:36.816209+00:00 ise1 root: info:[application:operation:cpmcontrol.sh] Done Stop Monit
2024-12-17T09:30:37.125419+00:00 ise1 ADEOSShell[2791127]: ADEAUDIT 2062, type=USER, name=M&T Log Processor, username=system, cause=M&T Log Processor Stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Stopping M&T Log Processor
2024-12-17T09:30:45.772624+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:Stopping wmi probe...
2024-12-17T09:30:45.799438+00:00 ise1 root: info:[application:operation:adprobe.sh] adprobe:wmi probe is disabled
2024-12-17T09:30:45.871771+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:Stopping syslog probe...
2024-12-17T09:30:45.898168+00:00 ise1 root: info:[application:operation:syslogprobe.sh] syslogprobe:syslog probe is disabled
2024-12-17T09:30:45.967252+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:Stopping rest probe...
2024-12-17T09:30:45.994671+00:00 ise1 root: info:[application:operation:restprobe.sh] restprobe:rest probe is disabled
2024-12-17T09:30:46.074828+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:Stopping agent probe...
2024-12-17T09:30:46.103781+00:00 ise1 root: info:[application:operation:agentprobe.sh] agentprobe:agent probe is disabled
2024-12-17T09:30:46.619128+00:00 ise1 root: info:[application:operation:appservercontrol.sh] Stopping ISE Application Server...
2024-12-17T09:30:46.621415+00:00 ise1 ADEOSShell[2791750]: ADEAUDIT 2062, type=USER, name=Application server status, username=system, cause=Application server stopped, adminipaddress=127.0.0.1, interface=CLI, detail=Application server stopped
2024-12-17T09:33:00.041627+00:00 ise1 root: info:[patchinstall.sh] ISE 3.3.0.430 patch 4 installFileSystem() INVOKED
2024-12-17T09:33:00.074901+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-core-3.5.7.jar
2024-12-17T09:33:00.085182+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-ws-policy-3.5.7.jar
2024-12-17T09:33:00.094910+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-bindings-soap-3.5.7.jar
2024-12-17T09:33:00.107845+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/prrt-interface-3.3.0.904.6-x86_64.jar
2024-12-17T09:33:00.117375+00:00 ise1 root: info:[patchinstall.sh] Updating patched file: /storeddata/Installing/.1734427709/filesystem/opt/sp-hub/libs/cxf-rt-transports-http-3.5.7.jar
Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:36:52 2024):
Trying to stop processes gracefully. Reload takes approximately 3 mins
Broadcast message from root@ise1 (pts/3) (Tue Dec 17 09:37:21 2024):
The system is going down for reboot NOW
Session terminated, killing shell... ...killed.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
4.0 |
30-Sep-2024
|
대체 텍스트 및 서식을 업데이트했습니다. |
3.0 |
08-Nov-2023
|
재인증 |
2.0 |
09-Sep-2022
|
기계 변환에서 파일 이름, 명령, 사용자 작업 및 디렉토리 탐색을 마스킹하도록 수정되었습니다. 간단한 문법, 구두점, 구조, 형식. |
1.0 |
20-Apr-2020
|
최초 릴리스 |
피드백