安装验证和安装后任务

登录思科 ISE Web 界面

首次登录到 Cisco ISE 基于 Web 的界面时,您将使用预安装的评估许可证。


我们建议您使用 Cisco ISE 用户界面定期重置管理员登录密码。

小心

出于安全原因,我们建议您在完成管理会话时注销。如果您不注销, 则 Cisco ISE 基于 Web 的界面会在处于非活动状态 30 分钟后将您注销,并且不保存任何未提交的配置数据。

开始之前

对于管理门户,思科 ISE 管理门户支持以下浏览器:

  • Mozilla Firefox 72 及更低版本

  • Mozilla Firefox ESR 60.9 及更低版本

  • Google Chrome 80 及更低版本

  • Microsoft Internet Explorer 11.x

过程

步骤 1

在 Cisco ISE 设备重新启动完成后,启动其中一种受支持的 Web 浏览器。

步骤 2

在 Address 字段中,通过使用以下格式输入 Cisco ISE 设备的 IP 地址(或主机名),然后按 Enter 键。 

 https://<IP address or host name>/admin/
步骤 3

输入设置过程中定义的用户名和密码。

步骤 4

点击 Login

CLI 管理员和基于 Web 的管理员的用户任务差异

使用 Cisco ISE 设置程序时设置的用户名和密码旨在用于对 Cisco ISE CLI 和 Cisco ISE Web 界面进行管理访问。具有 Cisco ISE CLI 访问权限的管理员称为 CLI 管理员用户。默认情况下,CLI 管理员用户的用户名为 admin,密码是设置过程中用户定义的密码。没有默认密码。

您最初可以使用设置过程中定义的 CLI 管理员用户的用户名和密码来访问 Cisco ISE Web 界面。基于 Web 的管理员没有默认用户名和密码。

CLI 管理员用户会被复制到 Cisco ISE 基于 Web 的管理员用户数据库。只有第一个 CLI 管理员用户会复制作为基于 Web 的管理员用户。您应将 CLI 管理员用户库与基于 Web 的管理员用户库保持同步,以便可以对两种管理员角色使用同一用户名和密码。

Cisco ISE CLI 管理员用户具有与 Cisco ISE 基于 Web 的管理员用户不同的权限和功能,并且可以执行其他管理任务。

表 1. CLI 管理员和基于 Web 的管理员用户执行的任务

管理员用户类型

任务

CLI 管理员和基于 Web 的管理员

  • 备份 Cisco ISE 应用数据。

  • 显示 Cisco ISE 设备上的所有系统、应用或诊断日志。

  • 应用 Cisco ISE 软件补丁、维护版本和升级。

  • 设置 NTP 服务器配置。

仅限 CLI 管理员

  • 启动和停止 Cisco ISE 应用软件。

  • 重新加载或关闭 Cisco ISE 设备。

  • 在锁定的情况下重置基于 Web 的管理员用户。

  • 访问 ISE CLI。

创建 CLI 管理员

通过思科 ISE,您可以创建除安装过程期间创建的 CLI 管理员用户帐户以外的其他 CLI 管理员用户帐户。要保护 CLI 管理员用户凭证,请创建访问思科 ISE CLI 所需的最小数量的 CLI 管理员用户。

您可以在配置模式下使用以下命令来添加 CLI 管理员用户: 
username <username> password [plain/hash] <password> role admin

创建基于 Web 的管理员

首次对 Cisco ISE 系统进行基于 Web 的访问时,管理员用户名和密码与设置过程中配置的基于 CLI 的访问相同。

添加管理员用户:

  1. 在思科 ISE GUI 中,点击菜单 (Menu) 图标 (),然后选择管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 管理员 (Administrators) > 管理员用户 (Admin Users)

  2. 选择添加 (Add) > 创建管理员用户 (Create an Admin User)

  3. 输入名称、密码、管理员组及其他所需的详细信息。

  4. 点击提交

因管理员锁定而重置禁用的密码

管理员输入不正确的密码达到足够次数便会禁用帐户。最少和默认尝试次数为 5。

使用这些说明在 Cisco ISE CLI 中通过 application reset-passwd ise 命令重置管理员用户界面密码。它不会影响管理员的 CLI 密码。在您成功重置管理员密码后,凭证立即生效,并且您可以登录,而不必重新启动系统。。

思科 ISE 在管理员登录 (Administrator Logins) 窗口中添加了一条日志条目。要查看此处窗口,请点击菜单 (Menu) 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 管理员登录 (Administrator Logins)。此管理员 ID 的凭证将暂停,直至您重置与此 ID 关联的密码。

过程

步骤 1

访问直接控制台 CLI 并输入:

application reset-passwd ise administrator_ID

步骤 2

指定并确认与用于此管理员 ID 的之前两个密码不同的新密码: 

 Enter new password: Confirm new password: Password reset successfully

思科 ISE 配置验证

共有两种验证方法,它们分别通过 Web 浏览器和 CLI 使用一组不同的用户名和密码凭证来验证 Cisco ISE 配置。


CLI 管理员用户和基于 Web 的管理员用户的凭证在思科 ISE 中不同。

使用 Web 浏览器验证配置

过程

步骤 1

在 Cisco ISE 设备重新启动完成后,启动其中一种受支持的 Web 浏览器。

步骤 2

Address 字段中,使用以下格式输入 Cisco ISE 设备的 IP 地址(或主机名),然后按 Enter 键。

步骤 3

在 Cisco ISE Login 页面中,输入已在设置过程中定义的用户名和密码,然后点击 Login

例如,输入 https://10.10.10.10/admin/ 会显示思科 ISE 登录页面。
 https://<IP 地址或主机名>/admin/
 
首次对 Cisco ISE 系统进行基于 Web 的访问时,管理员用户名和密码与设置过程中配置的基于 CLI 的访问相同。
步骤 4

使用 Cisco ISE 控制面板验证设备是否正常工作。

下一步做什么

通过使用 Cisco ISE 基于 Web 的用户界面菜单和选项,您可以配置 Cisco ISE 系统以满足您的要求。有关配置 Cisco ISE 的详细信息,请参阅《思科身份服务引擎管理员指南》。

使用 CLI 验证配置

开始之前

要获取最新的思科 ISE 补丁并保持思科 ISE 为最新版本,请访问以下网站: https://software.cisco.com/download/home/283801620/type

过程

步骤 1

在 Cisco ISE 设备重新启动完成后,启动受支持的产品(例如 PuTTY),以建立到 Cisco ISE 设备的安全外壳 (SSH) 连接。

步骤 2

在 Host Name(或 IP Address)字段中,输入主机名(或 Cisco ISE 设备的点分十进制格式的 IP 地址),然后点击 Open
步骤 3

在出现登录提示时,输入设置过程中配置的 CLI 管理员用户名(默认值为 admin),然后按 Enter 键。

步骤 4

在出现密码提示时,输入设置过程中配置的 CLI 管理员密码(此密码是用户定义的,没有默认值),然后按 Enter 键。

步骤 5

出现系统提示时,输入 show application version ise 并按 Enter 键。

步骤 6

要检查 Cisco ISE 进程的状态,请输入 show application status ise 并按 Enter 键。

控制台输出显示如下: 

ise-server/admin# show application status ise  ISE PROCESS NAME STATE PROCESS ID -------------------------------------------------------------------- Database Listener running 4930 Database Server running 66 PROCESSES Application Server running 8231 Profiler Database running 6022 ISE Indexing Engine running 8634 AD Connector running 9485 M&T Session Database running 3059 M&T Log Collector running 9271 M&T Log Processor running 9129 Certificate Authority Service running 8968 EST Service running 18887 SXP Engine Service disabled TC-NAC Docker Service disabled TC-NAC MongoDB Container disabled TC-NAC RabbitMQ Container disabled TC-NAC Core Engine Container disabled VA Database disabled VA Service disabled pxGrid Infrastructure Service disabled pxGrid Publisher Subscriber Service disabled pxGrid Connection Manager disabled pxGrid Controller disabled PassiveID Service disabled DHCP Server (dhcpd) disabled DNS Server (named) disabled

安装后任务列表

安装思科 ISE 后,您必须执行以下必要任务:

表 2. 强制安装后任务

任务

管理指南中的链接

应用最新补丁(如果有)

请参阅适用于您的版本的《思科 ISE 管理员指南》中“维护和监控”一章中的“软件补丁安装指南”部分。

安装许可证

有关详细信息,请参阅《思科 ISE 订购指南》。请参阅适用于您的版本的《思科 ISE 管理员指南》中的“许可”一章。

安装证书

请参阅适用于您的版本的《思科 ISE 管理员指南》中“基本设置”一章中的“思科 ISE 中的证书管理”部分。

创建备份存储库

请参阅适用于您的版本的《思科 ISE 管理员指南》中“维护和监控”一章中的“创建存储库”部分。

配置备份计划

请参阅适用于您的版本的《思科 ISE 管理员指南》中“维护和监控”一章中的“计划备份”部分。

部署思科 ISE 角色

请参阅适用于您的版本的《思科 ISE 管理员指南》中“部署”一章中的“思科 ISE 分布式部署”部分。