安装验证和安装后任务

登录到思科 ISE 基于 Web 的界面

首次登录到思科 ISE 基于 Web 的界面时,您将使用预安装的评估许可证。



我们建议您使用思科 ISE 用户界面定期重置管理员登录密码。

小心

出于安全原因,我们建议您在完成管理会话时注销。如果您不注销, 则思科 ISE 基于 Web 的界面会在处于非活动状态 30 分钟后将您注销,并且不保存任何未提交的配置数据。


有关经过验证的浏览器的信息,请参阅 《Cisco ISE 版本说明》中的“验证的浏览器”部分。

过程


步骤 1

在思科 ISE 设备重新启动完成后,启动其中一种受支持的网络浏览器。

步骤 2

在“地址”(Address) 字段中,通过使用以下格式输入思科 ISE 设备的 IP 地址(或主机名),然后按 Enter 键。


https://<IP address or host name>/admin/
步骤 3

输入设置过程中定义的用户名和密码。

步骤 4

点击登录 (Login)


CLI 管理员和基于 Web 的管理员的用户任务差异

使用思科 ISE 设置程序时设置的用户名和密码旨在用于对思科 ISE CLI 和思科 ISE Web 界面进行管理访问。具有思科 ISE CLI 访问权限的管理员称为 CLI 管理员用户。默认情况下,CLI 管理员用户的用户名为 admin,密码是设置过程中用户定义的密码。没有默认密码。

您最初可以使用设置过程中定义的 CLI 管理员用户的用户名和密码来访问思科 ISE Web 界面。基于 Web 的管理员没有默认用户名和密码。

CLI 管理员用户会被复制到思科 ISE 基于 Web 的管理员用户数据库。只有第一个 CLI 管理员用户会复制作为基于 Web 的管理员用户。您应将 CLI 管理员用户库与基于 Web 的管理员用户库保持同步,以便可以对两种管理员角色使用同一用户名和密码。

思科 ISE CLI 管理员用户具有与思科 ISE 基于 Web 的管理员用户不同的权限和功能,并且可以执行其他管理任务。

表 1. CLI 管理员和基于 Web 的管理员用户执行的任务

管理员用户类型

任务

CLI 管理员和基于 Web 的管理员

  • 备份思科 ISE 应用数据。

  • 显示思科 ISE 设备上的所有系统、应用或诊断日志。

  • 应用思科 ISE 软件补丁、维护版本和升级。

  • 设置 NTP 服务器配置。

仅限 CLI 管理员

  • 启动和停止思科 ISE 应用软件。

  • 重新加载或关闭思科 ISE 设备。

  • 在锁定的情况下重置基于 Web 的管理员用户。

  • 访问 ISE CLI。

创建 CLI 管理员

通过思科 ISE,您可以创建除安装过程期间创建的 CLI 管理员用户账号以外的其他 CLI 管理员用户账号。要保护 CLI 管理员用户凭证,请创建访问思科 ISE CLI 所需的最小数量的 CLI 管理员用户。

您可以在配置模式下使用以下命令来添加 CLI 管理员用户:
username <username> password [plain/hash] <password> role admin

创建基于 Web 的管理员

首次对思科 ISE 系统进行基于 Web 的访问时,管理员用户名和密码与设置过程中配置的基于 CLI 的访问相同。

添加管理员用户:

  1. 在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 管理员访问 (Admin Access) > 管理员 (Administrators) > 管理员用户 (Admin Users)

  2. 选择添加 (Add) > 创建管理员用户 (Create an Admin User)

  3. 输入名称、密码、管理员组及其他所需的详细信息。

  4. 点击提交

因管理员锁定而重置禁用的密码

管理员输入不正确的密码达到足够次数便会禁用帐户。最少和默认尝试次数为 5。

按照这些指令,使用思科 ISE CLI 中的 application reset-passwd ise 命令重置管理员用户界面密码。它不会影响管理员的 CLI 密码。在您成功重置管理员密码后,凭证立即生效,并且您可以登录,而不必重新启动系统。。

思科 ISE 在管理员登录 (Administrator Logins) 窗口中添加了一条日志条目。要查看此处窗口,请单击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 报告 (Reports) > 审核 (Audit) > 管理员登录 (Administrator Logins)。此管理员 ID 的凭证将暂停,直至您重置与此 ID 关联的密码。

过程


步骤 1

访问直接控制台 CLI 并输入:

application reset-passwd ise administrator_ID

步骤 2

指定并确认与用于此管理员 ID 的之前两个密码不同的新密码:


Enter new password:
Confirm new password:

Password reset successfully

思科 ISE 配置验证

共有两种验证方法,它们分别通过网络浏览器和 CLI 使用一组不同的用户名和密码凭证来验证思科 ISE 配置。



CLI 管理员用户和基于 Web 的管理员用户的凭证在思科 ISE 中不同。


使用网络浏览器验证配置

过程


步骤 1

在思科 ISE 设备重新启动完成后,启动其中一种受支持的网络浏览器。

步骤 2

地址 (Address) 字段中,使用以下格式输入思科 ISE 设备的 IP 地址(或主机名),然后按 Enter 键。

步骤 3

在思科 ISE 登录 (Cisco ISE Login) 页面中,输入已在设置过程中定义的用户名和密码,然后单击登录 (Login)

例如,输入 https://10.10.10.10/admin/ 会显示思科 ISE 登录 (Cisco ISE Login) 页面。

https://<IP address or host name>/admin/
 
首次对思科 ISE 系统进行基于 Web 的访问时,管理员用户名和密码与设置过程中配置的基于 CLI 的访问相同。
步骤 4

使用思科 ISE 控制面板验证设备是否正常工作。


下一步做什么

通过使用思科 ISE 基于 Web 的用户界面菜单和选项,您可以配置思科 ISE 系统以满足您的要求。有关配置思科 ISE 的详细信息,请参阅《思科身份服务引擎管理员指南》。

使用 CLI 验证配置

开始之前

下载并安装最新的思科 ISE 补丁,以便让思科 ISE 保持最新状态。

过程


步骤 1

在思科 ISE 设备重新启动完成后,启动受支持的产品(例如 PuTTY),以建立到思科 ISE 设备的安全外壳 (SSH) 连接。

步骤 2

在“主机名称”(Host Name)(或 IP 地址 (IP Address))字段中,输入主机名(或思科 ISE 设备的点分十进制格式的 IP 地址),然后单击打开 (Open)

步骤 3

在出现登录提示时,输入设置过程中配置的 CLI 管理员用户名(默认值为 admin),然后按 Enter 键。

步骤 4

在出现密码提示时,输入设置过程中配置的 CLI 管理员密码(此密码是用户定义的,没有默认值),然后按 Enter 键。

步骤 5

在提示符后,输入 show application version ise 并按 Enter 键。

步骤 6

要检查思科 ISE 进程的状态,请输入 show application status ise 并按 Enter 键。

控制台输出显示如下:

ise-server/admin# show application status ise 

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          4930
Database Server                        running          66 PROCESSES
Application Server                     running          8231
Profiler Database                      running          6022
ISE Indexing Engine                    running          8634
AD Connector                           running          9485
M&T Session Database                   running          3059
M&T Log Collector                      running          9271
M&T Log Processor                      running          9129
Certificate Authority Service          running          8968
EST Service                            running          18887
SXP Engine Service                     disabled
TC-NAC Docker Service                  disabled
TC-NAC MongoDB Container               disabled
TC-NAC RabbitMQ Container              disabled
TC-NAC Core Engine Container           disabled
VA Database                            disabled
VA Service                             disabled
pxGrid Infrastructure Service          disabled
pxGrid Publisher Subscriber Service    disabled
pxGrid Connection Manager              disabled
pxGrid Controller                      disabled
PassiveID Service                      disabled
DHCP Server (dhcpd)                    disabled
DNS Server (named)                     disabled
                  

安装后任务列表

安装思科 ISE 后,您必须执行以下必要任务:

表 2. 强制安装后任务

任务

管理指南中的链接

应用最新补丁(如果有)

请参阅适用于您的版本的《思科 ISE 管理员指南》中“维护和监控”一章中的“软件补丁安装指南”部分。

安装许可证

有关详细信息,请参阅《思科 ISE 订购指南》。请参阅适用于您的版本的《思科 ISE 管理员指南》中的“许可”一章。

安装证书

请参阅适用于您的版本的《思科 ISE 管理员指南》中“基本设置”一章中的“思科 ISE 中的证书管理”部分。

创建备份存储库

请参阅适用于您的版本的《思科 ISE 管理员指南》中“维护和监控”一章中的“创建存储库”部分。

配置备份计划

请参阅适用于您的版本的《思科 ISE 管理员指南》中“维护和监控”一章中的“计划备份”部分。

部署思科 ISE 角色

请参阅适用于您的版本的《思科 ISE 管理员指南》中“部署”一章中的“思科 ISE 分布式部署”部分。