简介
本文档介绍如何使用外部REST API配置思科身份服务引擎3.3 pxGrid直接连接器以获取终端数据。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科ISE 3.3
- 为终端属性提供JSON数据的REST API服务器
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco pxGrid Direct让您能够连接到为终端属性提供JSON数据的外部REST API并将此数据提取到Cisco ISE数据库,从而帮助您更快地评估和授权终端。此功能无需在每次必须授权端点时查询端点属性数据。然后,您可以在授权策略中使用获取的数据。
pxGrid Direct有助于根据您在pxGrid Direct配置中指定的属性收集数据。两个称为唯一标识符和关联标识符的必填字段用于获取相关数据。如果连接器不包含这些字段中的任何一个的值,则从连接器获取和保存数据可能会出错。
配置pxGrid直接连接器
步骤1:添加新的pxGrid直接连接器
要配置pxGrid Direct Connector,请从ISE导航到Administration > Network Resources > pxGrid Direct Connectors。单击 Add。
打开pxGrid Direct Connect Wizard(pxGrid直接连接向导)的Welcome(欢迎)页面后,单击
第二步:定义pxGrid直接连接器
如果需要,请为连接器指定名称和说明。单击 Next。
警告:选中Skip Certificate Validations复选框以允许Cisco ISE接受服务器提供的任何证书而不验证主机名或其他详细信息。只有在测试环境中或您信任所连接的服务器高度安全时,才能选中此复选框。通常,跳过证书验证会使您的网络易受中间机器攻击。
第三步:URL
- 键入为终端属性提供JSON数据的外部REST API的URL。
- 在Authentication下,输入外部REST API服务器的用户名和密码。
- 选择Test Connection,等待Successful消息,然后单击Next。
提示:增量URL对于配置是可选的。如果外部REST API具有请求参数,可以使用这些参数通过特定参数过滤而不是请求所有数据来获取最新信息。确保Request参数与外部REST API服务器的文档一起存在。
第四步:进度
选择Schedule for a FULL SYNC。
- 默认值 — 1周
- 最小值 — 12小时
- 最大值 — 1个月
选择Schedule for INCREMENTAL SYNC。此选项仅在步骤3中配置时显示。
- 默认值 — 1天
- 最小值 — 1小时
- 最大值 — 1周
单击 Next。
第五步:父对象
必须键入JSON密钥才能搜索属性。
第六步:Attributes
选择JSON的属性以配置可用于策略的词典项。
在此方案中,词典中包含的属性包括:
- 资产
- ip_address
- mac_address
- os_version
- sys_id
- sys_update
- u_segmentation_group_tag
单击 Next。
步骤 7.标识符
- 从CMDB数据库中选择对终端唯一且外部REST API服务器从中获取JSON的唯一标识符属性。
- 选择Correlation Identifier属性,这些属性对于ISE是唯一的,并且可以将终端与授权策略进行匹配。
单击 Next。
步骤 8摘要
确保pxGrid直接连接器已正确配置。单击Done。
连接器完成后,将显示在pxGrid直接连接器页面下。
步骤 9确认
从ISE,导航到Policy > Policy Elements > Dictionary > System Dictionaries。按pxGrid直接连接器的名称进行过滤。选择它并单击View。
导航到Dictionary Attributes 并查看步骤6下配置为Dictionary Items的属性列表。
情景可视性pxGrid直接控制面板
从ISE,导航到情景可视性>终端>更多> pxGrid直接终端。 系统将显示终端列表,其中已为Correlation和Unique标识符选择值。
单击Correlation ID查看Details,或单击Download特定端点的属性。
使用pxGrid直接字典的授权策略配置
从ISE导航到Policy > Policy Sets > Select a Policy Set > Authorization Policy。点击任何授权策略中的齿轮图标,然后选择插入。
为规则指定一个名称,然后添加一个新条件以打开Condition Studio。
单击添加新属性,导航到Unclassified,然后在Dictionary下,按pxGrid直接连接器的名称进行过滤。
选择可在授权策略下处理的属性,并设置该值。单击Use。
选择配置文件作为条件的结果。Click Save.
测试新规则。确保终端的RADIUS Live Log Details和Authorization Policy的值与pxGrid Direct Connector属性的Rule Name相同。
故障排除
从ISE,导航到操作>故障排除>调试向导>调试日志配置。选择主管理节点(PAN),然后点击编辑。
按pxGrid Direct过滤组件名称,然后选择所需的日志级别。Click Save.
admin#show logging application pxgriddirect-service.log
admin#show logging application pxgriddirect-connector.log
- 在ISE GUI上,导航到Operations > Troubleshoot > Download Logs > Select ISE PAN > Debug log > Debug Log Type > Application Logs。下载pxgriddirect-service.log和pxgriddirect-connector.log的压缩文件。
注意:
pxgriddirect-service的日志包含有关已获取终端数据是否已接收并保存到Cisco ISE数据库的信息。
pxgriddirect-connector的日志包含指示pxGrid Directed连接器是否成功添加到Cisco ISE的信息。