ISE 3.2 P7 — влияние сброса видимости контекста
-
Привет всем, Мы используем Cisco ISE 3.2 Patch 7 (6 узлов, без выделенного MNT).
Мы столкнулись с проблемой, при которой не все конечные точки, импортированные через API из внешнего источника идентификации, отображаются в Context Visibility. В
документации Cisco рекомендуется сбросить настройки и повторно синхронизировать Context Visibility, и мы рассматриваем возможность этого. Прежде чем приступить к этому, я хотел бы уточнить: Приводит ли сброс/синхронизация Context Visibility к простоям или влияет на активные конечные точки, если выполнять шаги в соответствии с документацией?
(
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213610-ise-2-3-rest-sync-context-visibility.html
)
Может ли эта операция повлиять на текущую аутентификацию или активные сессии?
Является ли это разумным подходом к устранению неполадок, связанных с отсутствием конечных точек, импортированных API, в CV?
В ходе этого процесса мы также планируем временно остановить автоматическую задачу, которая импортирует устройства в ISE. Будем благодарны за любые отзывы или реальный опыт. Спасибо! -
Привет
[, @omid.delawar] Набор политик ISE продолжает работать даже после сброса видимости контекста — насколько я могу судить, это не оказывает никакого влияния. application configure ise [20]Reset Context Visibility — в этом случае в видимости контекста у вас нет ни одной записи. Похоже, что набор политик использует для работы данные базы данных Oracle, а не видимость контекста (которая является скорее косметическим улучшением ISE, чтобы данные выглядели более привлекательно). Я смог без проблем выполнить 802.1X и MAB для узла с пустым CV. Фактически, как только вы выполните операцию, требующую поиска конечной точки (например, MAB), ISE найдет ее, а затем заполнит Context Visibility этой конечной точкой. Но в производственной среде вы будете использовать опцию [21]Synchronize Context Visibility With Database -
@omid.delawar
Вы не должны заметить никакого влияния на аутентификацию в реальном времени, поскольку этот сброс затрагивает только базу данных dashs, а не сам механизм политики. Тем не менее, этот процесс может быть довольно ресурсоемким, поэтому для безопасности лучше запускать его во время окна обслуживания.
]
-
Спасибо за ответ,
@Stefan Mihajlov
. Просто для подтверждения, исходя из вашего опыта, выполнение сброса CV и повторной синхронизации, вероятно, решит проблему, когда конечные точки, импортированные API, не отображаются в Context Visibility? Сами импорты, похоже, прошли успешно, так как конечные точки видны в группах конечных точек, но их невозможно добавить, потому что появляется сообщение, что MAC-адрес уже существует. -
@omid.delawar
Я лично не сталкивался с такой конкретной ситуацией при импорте API, но, поскольку конечные точки существуют в группах, похоже, что это типичное несоответствие индексации
. Сброс cv предназначен для перестроения представления панели инструментов из базы данных. -
Спасибо! Я попробую и сообщу здесь о результатах.
-
Решение: вот что я сделал Обновил ISE до патча 9. Это само по себе не решило проблему.
Сначала я синхронизировал только видимость контекста — это не решило проблему.
Затем я сбросил настройки Context Visibility и выполнил полную синхронизацию, что решило проблему. После сброса и синхронизации все конечные точки, импортированные API, теперь правильно отображаются в Context Visibility. Спасибо всем за помощь и предложения. Очень признателен!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти