在ISE 3.4中配置远程支持授权

下载选项

PDF (1.7 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.4 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (880.5 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2025 年 11 月 13 日

文档 ID:225375

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何在3.4上配置Cisco Identity Services Engine (ISE)Remote Support Authorization以允许从Cisco Agent进行访问。

先决条件

要求

思科建议您具备Cisco ISE®的基本知识。

要设置RADKit服务，ISE主管理节点必须直接或通过配置的代理与prod.radkit-cloud.cisco.com建立HTTPS连接。此外，需要有效的CCO帐户。

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ISE版本3.4补丁2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

远程支持授权功能利用Cisco RADkit为思科专家提供安全、经过审核的远程访问，以在您的环境中选择ISE节点，从而简化故障排除。

RADKit ISE Architecture Overview RADKit ISE架构概述

RADKit已获得CSDL的批准。CSDL是一个思科流程，用于审查软件的安全风险、数据隐私和第三方许可合规性。RADKit经过严格的安全审查：代码质量和相关性在整个开发过程中进行分析；我们的服务受到持续监控。所有静态或传输数据都受行业标准算法(AES、RSA、SHA-2、ECDH...)和协议（双向身份验证TLS1.3、SSH）以及行业推荐参数的保护。

RADKit仅方便数据传输，但RADKit不会在RADKit云中收集或存储任何内容。它只是您收集数据的一种有效方式，以及与支持工程师交换数据的一种更安全的方法，而不是发送电子邮件或手动上传到SR。此规则的唯一例外是我们为您的安全生成的审核跟踪，它归您所有，永远不会离开您的系统。

RADKit服务设置

导航至Operations > Support > Remote Support Authorization。输入您的思科SSO关联邮件地址进行身份验证。

Initial Remote Support Authorization page where Email entry required 需要输入电邮的初始远程支持授权页面

启动远程支持授权服务后，点击 Complete SSO Authentication.

After entering Email, button appears to Complete SSO Authentication 输入邮件后，按钮显示为完成SSO身份验证

点击Accept新打开的窗口，完成对的授Cisco RADkit Cloud权。

SSO Authentication Page where Authorization Completed 完成授权的SSO身份验证页面

配置远程支持授权

点击Create A Remote Support Authorization以配置远程访问会话。

After Authentication, Option to Create Remote Support Authorization Appears 身份验证后，系统将显示Create Remote Support Authorization选项

输入您希望为其提供访问权限的思科专家的电邮地址。选择Observer (Read-Only)以向思科专家提供只读访问权限，或向Admin (Read-Write)思科专家提供完全的读写访问权限。如果此访问与现有的TAC服务请求相关，您可以输入SR编号以及远程访问的任何其他理由。输入Next所需信息后单击。

注意：提供SR编号允许TAC自动上传收集的日志，无需任何干预。此外，这有助于在SR中记录远程连接和命令。

First Page of Authorization Creation 授权创建的第一页

安排远程授权的持续时间和时间。要立即安排访问，请选择Now.Scheduled Start Date“要将访问安排在以后的日期或时间”，选择并设置中的所需信息，Start Time.然后Next输入所需信息后单击。

Second Page of Authorization Creation 授权创建的第二页

选择您要授予访问权限的每个ISE节点。要启用对节点的远程CLI访问，请选择I Agree to give access to CLI.“要启用对节点的远程UI访问”，选择“I Agree to give access to UI启用”。在Next输入所需信息后单击。

注意：要提供UI访问，必须配置UI管理员用户名/密码。此帐户用于创建思科专家使用指定的访问级别登录的新管理员用户，因此输入的帐户必须具有创建新管理员帐户所需的权限。凭证必须用于内部管理员用户，除非Active Directory配置为UI身份源，在这种情况下，也可以使用AD管理员凭证。

Third Page of Authorization Creation 授权创建的第三页

单击复制图标可复制远程支持授权信息，并将此信息提供给思科专家。单Finish击可最终确定远程访问授权。

Summary Page of Authorization Creation 授权创建的摘要页面

验证

您可以在选项卡上验证所有当前活动的远程支持Current Authorizations授权。您可以在选项卡上查看任何以前的远程支持Past Authorizations授权。

Verify Active Authorizations 验证有效授权

要查看节点的CLI会话审核日志，请导航至，选择要为其下载日志的节Operations > Support > Troubleshoot > Download Logs点，然后选择Debug Logs项。所有CLI会话都可以在radkit-session文件夹中找到。单击文件名下载审核日志。

注意：CLI会话监控必须按节点完成。每个节点都有自己的radkit-session文件夹，其中包含该节点的特定审核日志。

CLI Audit Logs CLI审核日志

要查看UI审核日志，您可以使用ISE UI中的审核报告。导航至Operations > Reports > Audit > Administrator Logins查看任何管理员登录UI或CLI。导航至Operations > Reports > Audit > Change Configuration Audit，查看管理员在UI中所做的任何更改。

注意：登录UI的思科专家使用用户名<user>-CustomerSupport，其中<user>是远程支持授权中提供的用户名。登录CLI的思科专家如果具有管理（读写）访问权限，则使用用户名customersuppadmin；如果具有观察程序（只读）访问权限，则使用customersuppreadonly。

故障排除

要查看容器上的日志，需要查看ADE.log文件，这些日志将在初始设置过程中在UI上输入电子邮件时开始。在CLI中，输入show logging system ade/ADE.log tail命令：

2025-05-20T14:21:07.670874-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Container run status  
2025-05-20T14:21:07.818398-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] docker_container_running failed,current status: 
2025-05-20T14:21:07.821281-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Starting Remote Support Authorization Service...
2025-05-20T14:21:07.824667-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] inside setup_radkit
2025-05-20T14:21:07.828862-05:00 ise-3-4-909-55 ADEOSShell[594468]: ADEAUDIT 2061, type=USER, name=RADKIT status, username=system, cause=Remote Support Authorization Service started., adminipaddress=10.201.229.55, interface=CLI, detail=Remote Support Authorization Service started.
2025-05-20T14:21:07.829439-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] inside docker_container_exists
2025-05-20T14:21:07.877488-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] inside docker_image_exists
2025-05-20T14:21:08.057775-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Image exist with ID = d6a7d3665e920f00ca484d4f0060c9f3e76ec416c7dda7ff7fc81a60be97537a
2025-05-20T14:21:08.060665-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Docker image exists
2025-05-20T14:21:08.063583-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Docker image ise-radkit-service is already loaded.
2025-05-20T14:21:08.066214-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Setting up radkit

ISE监控容器，以检查其是否正在运行，以及RADKit应用是否准备就绪，然后将远程授权服务标记为已启动。

2025-05-20T14:21:24.477946-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Container run status  true
2025-05-20T14:21:24.800804-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] In isRadkitAppReady: App is not ready
2025-05-20T14:21:24.804531-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] ISE Radkit app is not ready,checking app status counter: 1
2025-05-20T14:21:27.859691-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Container run status  true
2025-05-20T14:21:28.024853-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] In isRadkitAppReady: App is not ready
2025-05-20T14:21:28.028121-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] ISE Radkit app is not ready,checking app status counter: 2
2025-05-20T14:21:31.079596-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Container run status  true
2025-05-20T14:21:31.232927-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] In isRadkitAppReady: App is not ready
2025-05-20T14:21:31.236149-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] ISE Radkit app is not ready,checking app status counter: 3
2025-05-20T14:21:34.287758-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Container run status  true
2025-05-20T14:21:34.426699-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] In isRadkitAppReady: App is not ready
2025-05-20T14:21:34.429983-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] ISE Radkit app is not ready,checking app status counter: 4
2025-05-20T14:21:37.486192-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Container run status  true
2025-05-20T14:21:37.621712-05:00 ise-3-4-909-55 root: info:[application:operation:radkit-control.sh] Remote Support Authorization Service started.

您还可以使用API调用https://<ISE_PPAN>/api/v1/customersupport/checkstatus检查RADKit服务的状态。

Output when RadKit Service is Running 运行RadKit服务时的输出

Output when RadKit Service is not Running RadKit服务未运行时输出

要在启动远程支持授权服务后查看RADKit服务日志，请输入show logging application radkit/service/service.log命令。首次启动服务时，将使用RADKit应用程序完成一些基本设置。

2025-05-20T19:21:31.730Z INFO  | internal | MainThread  [] RADKit Service [version='1.6.12']
2025-05-20T19:21:31.731Z INFO  | internal | MainThread  [] STDIN is not a terminal; assuming --headless
2025-05-20T19:21:31.732Z INFO  | internal | MainThread  [] This RADKit release does not expire
2025-05-20T19:21:34.101Z INFO  | internal | MainThread radkit_service.database.service_db [DB] Creating new database file. [path=PosixPath('/radkit/service/service-db.json.encrypted')]
2025-05-20T19:21:34.102Z INFO  | internal | MainThread radkit_service.database.service_db [DB] Storing DB encryption key in credentials backend. [path=PosixPath('/radkit/service/service-db.json.encrypted')]
2025-05-20T19:21:34.104Z INFO  | internal | MainThread radkit_service.database.service_db [DB] Opening database. [path=PosixPath('/radkit/service/service-db.json.encrypted')]
2025-05-20T19:21:34.105Z INFO  | internal | MainThread radkit_service.backup [SYSTEM] Ensuring backup directory [backup_dir_path='/radkit/service/backups/20250520-192134_1.6.12']

创建可用于连接的RADKit服务。

2025-05-20T19:22:25.284Z INFO  | radkit_control/superadmin/184f89f8 | MainThread radkit_service.service [SYSTEM] Creating service
2025-05-20T19:22:25.655Z INFO  | radkit_control/superadmin/184f89f8 | MainThread Service(0x7F92596171D0) [AUDIT,SYSTEM] Starting RADKit Service [serial='xv3i-f2xi-kls6' log_dir=PosixPath('/radkit/logs/service')]
2025-05-20T19:22:25.664Z INFO  | radkit_control/superadmin/184f89f8 | MainThread SingleWebSocketForwarderClient(0x7F925BCE3390) [] Connecting to forwarder [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-3/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-3/websocket/']
2025-05-20T19:22:25.679Z INFO  | radkit_control/superadmin/c5f2549f | MainThread radkit_service.webserver.middlewares.logging [AUDIT,FASTAPI] API call request [request_id='591020e2-cb1d-4406-8b95-d2f5dbcd5a04' url='/api/v1/auth/logout' request_method='POST' event_target='::1' event_target_port=8081 app_identifier='RADKit Service' protocol='https' source_location='radkit_control' event_source='::1' event_source_port=48122 peer_identity='superadmin']

当您在GUI中添加远程支持授权时，思科专家会作为远程用户创建。

2025-05-20T19:24:10.599Z INFO  | radkit_control/superadmin/5d496186 | MainThread DBOperationsAPI(0x7F9259646390) [AUDIT,DB] Creating remote user [username='mabramsk@cisco.com']
2025-05-20T19:24:10.600Z INFO  | radkit_control/superadmin/5d496186 | MainThread radkit_service.webserver.fastapi_endpoints.dependencies [AUDIT,FASTAPI] API call success [request_id='eb8879fd-3c0c-45d7-9733-6b7fcdc9f1aa' effects='Created a new remote user' username='mabramsk@cisco.com' labels=[(1, 'mabramsk-7a7675cc')]]

当思科专家连接到服务并访问ISE节点时，它将显示在这些日志中。

2025-05-20T19:26:02.766Z INFO  | cloud-rpc/mabramsk@cisco.com/4Kkevny_ | MainThread RPCServer(0x7F925A1B9B10) [AUDIT,RPC] new RPC request [rpc_name='get-capabilities' identity='mabramsk@cisco.com' connection_type='CLOUD']
2025-05-20T19:26:03.033Z INFO  | cloud-rpc/mabramsk@cisco.com/4Kkevny_ | MainThread CapabilitiesResponder(0x7F92597C42D0) [AUDIT,RPC] user requested Capabilities
2025-05-20T19:26:03.117Z INFO  | cloud-rpc/mabramsk@cisco.com/4Kkevny_ | MainThread CapabilitiesResponder(0x7F92597C42D0) [RPC] finished handling capabilities request
2025-05-20T19:26:03.121Z INFO  | cloud-rpc/mabramsk@cisco.com/4Kkevny_ | MainThread RPCServer(0x7F925A1B9B10) [AUDIT,RPC] RPC request finished [rpc_name='get-capabilities' identity='mabramsk@cisco.com' connection_type='CLOUD']
2025-05-20T19:26:04.863Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR | MainThread EncryptedRPCServerTransportRequest(0x7F92598C3410) [RPC] New incoming end-to-end encrypted request. [tls_version='TLSv1.3' rpc_name='h2']
2025-05-20T19:26:04.864Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee | MainThread H2MultiplexingRPCServerTransport(0x7F925A1B9550) [RPC] New incoming H2 multiplexed request.
2025-05-20T19:26:04.869Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-1 | MainThread RPCServer(0x7F925A1B9B10) [AUDIT,RPC] new RPC request [rpc_name='get-basic-inventory' identity='mabramsk@cisco.com' connection_type='CLOUD']
2025-05-20T19:26:04.879Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-1 | MainThread InventoryResponder(0x7F925A1B8810) [AUDIT,RPC] user requested inventory
2025-05-20T19:26:04.882Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-1 | MainThread InventoryResponder(0x7F925A1B8810) [RPC] finished handling basic inventory request
2025-05-20T19:26:04.885Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-1 | MainThread RPCServer(0x7F925A1B9B10) [AUDIT,RPC] RPC request finished [rpc_name='get-basic-inventory' identity='mabramsk@cisco.com' connection_type='CLOUD']
2025-05-20T19:26:26.083Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-3 | MainThread RPCServer(0x7F925A1B9B10) [AUDIT,RPC] new RPC request [rpc_name='start-interactive-terminal' identity='mabramsk@cisco.com' connection_type='CLOUD']
2025-05-20T19:26:26.090Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-3 | MainThread TerminalProxyRunner(0x7F9259795D50) [AUDIT,TERMINAL] interactive terminal request [device_uuid=UUID('1881cca5-9194-4625-a288-8cd9ee49440c') device_name='ise']
2025-05-20T19:26:26.146Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-3 | MainThread SSHPTYStream.create [] connected to device over SSH [device='ise']
2025-05-20T19:26:26.198Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-3 | MainThread radkit_service.session_log [] Session log initialized [filepath='/radkit/session_logs/service/20250520-192626-cjZPy-yR.e2ee.h2-3-SSH-ise.log']
2025-05-20T19:26:43.932Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-3 | MainThread TerminalProxyRunner(0x7F9259795D50) [AUDIT,TERMINAL] device request finished [device_name='ise' device_uuid=UUID('1881cca5-9194-4625-a288-8cd9ee49440c')]
2025-05-20T19:26:43.935Z INFO  | cloud-rpc/mabramsk@cisco.com/cjZPy-yR.e2ee.h2-3 | MainThread RPCServer(0x7F925A1B9B10) [AUDIT,RPC] RPC request finished [rpc_name='start-interactive-terminal' identity='mabramsk@cisco.com' connection_type='CLOUD']

一旦远程授权过期或删除，远程用户将从RADKit服务中删除。

2025-05-20T19:26:55.195Z INFO  | radkit_control/superadmin/8fd4246f | MainThread radkit_service.webserver.fastapi_endpoints.remote_users [AUDIT,FASTAPI] Deleting remote user [router='remote-users' username='mabramsk@cisco.com']
2025-05-20T19:26:55.196Z INFO  | radkit_control/superadmin/8fd4246f | MainThread radkit_service.webserver.fastapi_endpoints.remote_users [AUDIT,FASTAPI] API call success [router='remote-users' effects='Deleted remote user' username='mabramsk@cisco.com']

在ISE 3.4中配置远程支持授权

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

配置

RADKit服务设置

配置远程支持授权

验证

故障排除

相关信息

修订历史记录

由思科工程师提供

此文档是否有帮助?

联系我们

本文档适用于以下产品