ISE 3.3 pxGrid Direct的配置和故障排除

已更新: 2023 年 9 月 29 日

文档 ID:221004

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何使用外部REST API配置思科身份服务引擎3.3 pxGrid直接连接器以获取终端数据。

先决条件

要求

Cisco 建议您了解以下主题：

思科ISE 3.3
REST API

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ISE 3.3
为终端属性提供JSON数据的REST API服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Cisco pxGrid Direct让您能够连接到为终端属性提供JSON数据的外部REST API并将此数据提取到Cisco ISE数据库，从而帮助您更快地评估和授权终端。此功能无需在每次必须授权端点时查询端点属性数据。然后，您可以在授权策略中使用获取的数据。

pxGrid Direct有助于根据您在pxGrid Direct配置中指定的属性收集数据。两个称为唯一标识符和关联标识符的必填字段用于获取相关数据。如果连接器不包含这些字段中的任何一个的值，则从连接器获取和保存数据可能会出错。

配置pxGrid直接连接器

步骤1:添加新的pxGrid直接连接器

要配置pxGrid Direct Connector，请从ISE导航到Administration > Network Resources > pxGrid Direct Connectors。单击 Add。 Add a New pxGrid Direct Connector

打开pxGrid Direct Connect Wizard（pxGrid直接连接向导）的Welcome（欢迎）页面后，单击 Let's Do It Button

第二步：定义pxGrid直接连接器

如果需要，请为连接器指定名称和说明。单击 Next。

Define the pxGrid Direct Connector

警告：选中Skip Certificate Validations复选框以允许Cisco ISE接受服务器提供的任何证书而不验证主机名或其他详细信息。只有在测试环境中或您信任所连接的服务器高度安全时，才能选中此复选框。通常，跳过证书验证会使您的网络易受中间机器攻击。

第三步：URL

键入为终端属性提供JSON数据的外部REST API的URL。
在Authentication下，输入外部REST API服务器的用户名和密码。
选择Test Connection，等待Successful消息，然后单击Next。

Add URL for px Grid Direct Connector

提示：增量URL对于配置是可选的。如果外部REST API具有请求参数，可以使用这些参数通过特定参数过滤而不是请求所有数据来获取最新信息。确保Request参数与外部REST API服务器的文档一起存在。

第四步：进度

选择Schedule for a FULL SYNC。

默认值 — 1周
最小值 — 12小时
最大值 — 1个月

选择Schedule for INCREMENTAL SYNC。此选项仅在步骤3中配置时显示。

默认值 — 1天
最小值 — 1小时
最大值 — 1周

单击 Next。

Schedule will Trigger from pxGrid Direct Connector

第五步：父对象

必须键入JSON密钥才能搜索属性。

Parent Object JSON

第六步：Attributes

选择JSON的属性以配置可用于策略的词典项。

在此方案中，词典中包含的属性包括：

资产
ip_address
mac_address
os_version
sys_id
sys_update
u_segmentation_group_tag

单击 Next。

Attributes for the Endpoints

步骤 7.标识符

从CMDB数据库中选择对终端唯一且外部REST API服务器从中获取JSON的唯一标识符属性。
选择Correlation Identifier属性，这些属性对于ISE是唯一的，并且可以将终端与授权策略进行匹配。

单击 Next。

Identifiers for pxGrid Connector Dashboard

步骤 8摘要

确保pxGrid直接连接器已正确配置。单击Done。

Summary for Configuration to Verify if Configured Properly

连接器完成后，将显示在pxGrid直接连接器页面下。

Connector is Done

步骤 9确认

从ISE，导航到Policy > Policy Elements > Dictionary > System Dictionaries。按pxGrid直接连接器的名称进行过滤。选择它并单击View。

System Dictionary

导航到Dictionary Attributes 并查看步骤6下配置为Dictionary Items的属性列表。

Dictionary Attribute

情景可视性pxGrid直接控制面板

从ISE，导航到情景可视性>终端>更多> pxGrid直接终端。 系统将显示终端列表，其中已为Correlation和Unique标识符选择值。

单击Correlation ID查看Details，或单击Download特定端点的属性。

pxGrid Dashboard

使用pxGrid直接字典的授权策略配置

从ISE导航到Policy > Policy Sets > Select a Policy Set > Authorization Policy。点击任何授权策略中的齿轮图标，然后选择插入。

为规则指定一个名称，然后添加一个新条件以打开Condition Studio。

单击添加新属性，导航到Unclassified，然后在Dictionary下，按pxGrid直接连接器的名称进行过滤。 Conditions Studio

选择可在授权策略下处理的属性，并设置该值。单击Use。

Condition Final Policy

选择配置文件作为条件的结果。Click Save.

Review the Policy

测试新规则。确保终端的RADIUS Live Log Details和Authorization Policy的值与pxGrid Direct Connector属性的Rule Name相同。

故障排除

从ISE，导航到操作>故障排除>调试向导>调试日志配置。选择主管理节点(PAN)，然后点击编辑。

按pxGrid Direct过滤组件名称，然后选择所需的日志级别。Click Save.

Debug Log Configuration

在ISE PAN CLI上，日志位于：

admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log

在ISE GUI上，导航到Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs。下载pxgriddirect-service.log和pxgriddirect-connector.log的压缩文件。

注意：

pxgriddirect-service的日志包含有关已获取终端数据是否已接收并保存到Cisco ISE数据库的信息。

pxgriddirect-connector的日志包含指示pxGrid Directed连接器是否成功添加到Cisco ISE的信息。

修订历史记录

版本	发布日期	备注
1.0	29-Sep-2023	初始版本

由思科工程师提供

Ernesto Cruz Lopez
技术咨询工程师