使用Insominia通過ISE 3.3中的JSON或XML和API呼叫配置內部使用者

簡介

本文檔介紹通過利用JSON或XML資料格式以及API呼叫，在Cisco ISE中配置內部使用者。

必要條件

• ISE 3.0或更高版本。
• API客戶端軟體。

採用元件

• ISE 3.3

• Insominia 9.3.2

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

網路圖表

常規拓撲

GET和POST是在API（應用程式程式設計介面）呼叫中使用的兩種最常見的HTTP方法。它們用於與伺服器上的資源進行互動，通常用於檢索資料或提交資料以進行處理。

GET API呼叫

GET方法用於從指定的資源請求資料。GET請求是API和網站中最常用、最廣泛使用的方法。訪問網頁時，您的瀏覽器正在向託管該網頁的伺服器發出GET請求。

POST API呼叫

POST方法用於將資料傳送到伺服器以建立或更新資源。POST請求通常用於提交表單資料或上傳檔案。

組態

我們需要從API客戶端軟體向ISE節點傳送確切資訊以建立內部使用者。

ISE配置

啟用ERS功能。

1.定位至「管理」>「系統」>「設定」>「API設定」>「API服務設定」。

2.啟用ERS（讀/寫）選項。

API設定

JSON請求。

1. 開放式失眠。
2. 在左側新增新的HTTPS請求。

JSON請求

3. 您需要選擇POST以將資訊傳送到ISE節點。

您需要輸入的URL取決於ISE節點的IP地址。

URL：https://x.x.x.x/ers/config/internaluser

JSON帖子

4. 然後按一下正文並選擇JSON

JSON正文

5. 您可以貼上語法，並根據需要更改引數。

JSON語法

JSON語法

{

  "InternalUser": {

    "name": "name",

    "description": "description",

    "enabled": true,

    "email": "email@domain.com",

    "accountNameAlias": "accountNameAlias",

    "password": "password",

    "firstName": "firstName",

    "lastName": "lastName",

    "changePassword": true,

    "identityGroups": "identityGroups",

    "passwordNeverExpires": false,

    "daysForPasswordExpiration": 60,

    "expiryDateEnabled": false,

    "expiryDate": "2016-12-11",

    "enablePassword": "enablePassword",

    "dateModified": "2015-12-20",

    "dateCreated": "2015-12-15",

    "customAttributes": {

      "key1": "value1",

      "key2": "value3"

    },

    "passwordIDStore": "Internal Users"

  }

}

6. 按一下「Auth」，然後選擇「Basic」。

JSON身份驗證

7. 輸入ISE GUI憑證。

管理員JSON憑據

8. 按一下標題新增以下方法：
   • Content-Type:application/json
   • 接受:application/json

JSON標頭

9. 最後，按一下「傳送」。

附註：如果要將身份組分配給新使用者帳戶，需要使用身份組的ID。有關更多資訊，請檢視故障排除部分。

驗證

1. 傳送POST請求後，您將看到狀態「201 Created」。這表示已成功完成該過程。

成功的JSON請求

2. 開啟ISE GUI並導航至Administration > Identity Management > Identities > Users > Network Access Users

JSON使用者帳戶

XML請求

1. 開放式失眠。
2. 在左側新增新的HTTPS請求。

XML請求

3. 您需要選擇POST以將資訊傳送到ISE節點。

您需要輸入的URL取決於ISE節點的IP地址。

URL：https://x.x.x.x/ers/config/internaluser

XML文章

4. 然後按一下「正文」並選擇「XML」。

XML正文

5. 您可以貼上語法，並根據需要更改引數。

XML文章

XML語法

   accountNameAlias

   true

   

      

         key1

         value1

      

      

         key2

         value3

      

   

   2015-12-15

   2015-12-20

   60

   email@domain.com

   enablePassword

   true

   2016-12-11

   false

   firstName

   identityGroups

   lastName

   password

   Internal Users

   false

6. 按一下「Auth」，然後選擇「Basic」

XML身份驗證

7. 輸入ISE GUI憑證。

XML憑據

8. 按一下標題新增以下方法：
   • Content-Type:application/xml
   • 接受:application/xml

XML標頭

9. 最後，按一下「傳送」。

附註：如果要將身份組分配給新使用者帳戶，需要使用身份組的ID。有關更多資訊，請檢視故障排除部分。

驗證

1. 傳送POST請求後，您將看到狀態「201 Created」。這表示已成功完成該過程。

成功的XML請求

2. 開啟ISE GUI並導航至Administration > Identity Management > Identities > Users > Network Access Users

使用者帳戶驗證

疑難排解

1.標識身份組的ID。

使用GET和https://X.X.X.X/ers/config/identitygroup查詢。

GET選項

JSON輸出。

標識說明旁邊的ID。

ID身份組01

XML輸出。

標識說明旁邊的ID。

ID身份組02

2. 401未經授權的錯誤。

401錯誤

解決方案：檢查Auth部分中配置的訪問憑據

3.錯誤：無法連線到伺服器

連線錯誤

解決方案：檢查在失眠中配置的ISE節點的IP地址或驗證連線。

4. 400個錯誤請求。

400錯誤

面臨此錯誤的原因有多種，最常見的原因有：

•  與安全密碼策略不匹配
•  某些引數配置錯誤。
• Sintaxis錯誤。
• 資訊重複。

5.錯誤：SSL對等憑證或SSH遠端金鑰不正常

SSL證書錯誤

解決方案： 

1. 點選禁用SSL驗證(Disable SSL Validation)。
2. 在Request / Response下，禁用Validate Certificates選項。

Validate certificates選項

6. CSCwh71435   缺陷。

使能口令是隨機配置的，儘管您尚未配置它。當使能口令語法被刪除或保留為空值時會發生此行為。有關詳細資訊，請檢查下一個連結：

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh71435

API呼叫引用。

您可以檢視ISE支援的API呼叫的所有資訊。

1.定位至「管理」>「系統」>「設定」>「API設定」。

2.按一下ERS API資訊連結。

API設定

3.然後按一下API文檔。

API 說明文件