Quy trình công việc này thêm một nhóm nhận dạng tĩnh gán cho một địa chỉ MAC trong Công cụ dịch vụ nhận dạng của Cisco [ISE]. Ví dụ: nếu bạn đang sử dụng nhóm nhận dạng để xác định hồ sơ ủy quyền nào sẽ áp dụng, thì bạn có thể sử dụng quy trình phản hồi này để thay đổi quyền của điểm cuối. hỗ trợ có thể quan sát được. mac_address
GitHub
Nhật ký thay đổi
DateNotesNgày 26 tháng 5 năm 2021- Bản phát hành lần đầuNgày 10 tháng 9 năm 2021- Cập nhật để sử dụng nguyên tử hệ thống mớiNgày 1 tháng 9 năm 2022- Cập nhật nhỏ về cách đặt tên và mô tảNgày 4 tháng 11 năm 2022- Đã khắc phục hoạt động Update Identity Group
[Sự cố #214]
Xem trang Ghi chú quan trọng để biết thêm thông tin về việc cập nhật quy trình công việc
Yêu cầu
- Quy trình làm việc này sử dụng các nguyên tử hệ thống sau đây
- ISE - ERS - Endpoint - Tạo điểm cuối
- ISE - ERS - Điểm cuối - Tìm kiếm
- ISE - ERS - Điểm cuối - Cập nhật nhóm nhận dạng
- ISE - ERS - Nhóm nhận dạng điểm cuối - Nhận theo tên
- Các hành động nguyên tử sau đây phải được nhập trước khi bạn có thể nhập quy trình làm việc này
- Các mục tiêu và khóa tài khoản được liệt kê ở cuối trang
- Công cụ dịch vụ nhận dạng của Cisco [ISE]
Các bước quy trình làm việc
- Đảm bảo loại có thể quan sát được cung cấp được hỗ trợ
- Đảm bảo nhóm nhận dạng tồn tại và lấy ID của nhóm đó
- Tìm kiếm điểm cuối theo địa chỉ MAC
- Kiểm tra xem điểm cuối có tồn tại không
- Nếu có, hãy cập nhật bài tập nhóm của nó
- Nếu không, hãy tạo nó và thêm nó vào nhóm nhận dạng
Cấu hình
- Đặt biến cục bộ
Identity Group Name
thành tên của nhóm nhận dạng điểm cuối để thêm điểm cuối vào - Nếu bạn muốn thay đổi tên của quy trình công việc này trong menu xoay vòng, hãy thay đổi tên hiển thị của nó
mục tiêu
Ghi chú. Nếu triển khai Cisco ISE của bạn là tại chỗ và không thể truy cập từ internet, bạn sẽ cần một điều khiển từ xa điều phối SecureX để sử dụng ISE với điều phối
Trong trang Splash, chọn Cisco Identity Services Engine [ISE] Authentication nếu thiết lập của bạn sử dụng AVP Loại dịch vụ - Kiểm tra cuộc gọi, nếu không thì các AP sẽ không bao gồm nó trong các gói yêu cầu truy cập của họtệp có định dạng mẫu ise
MACAddress,EndPointPolicy,IdentityGroup,PortalUser. Loại khách,Mô tả,Cổng thông tinNgười dùng. Vị trí,Người dùng cổng thông tin. GuestStatus,StaticAssignment,User-Name,DeviceRegistrationStatus,PortalUser. CreationType, AUPAccepted, PortalUser. EmailAddress,PortalUser. PhoneNumber,FirstName,ip,Device Type,host-name,StaticGroupAssignment,MDMEnrolled,MDMOSVersion,PortalUser. Họ,Người dùng cổng thông tin. Nhà tài trợ khách,Địa chỉ email,Người dùng cổng thông tin,Người dùng cổng thông tin. FirstName,BYODRegistration,MDMServerName,LastName,MDMServerID,Vị trí
50. 12. 33. 44. 55. 66,,huva-vlan501,,,,,,,,,,,,,,,,,,,,,,,,,,,,
chúng tôi sử dụng ba cột và cột còn lại để trống
Chào Saurabh,
Liên kết nói rằng Radius nên được cấu hình trong switch, điều đó có nghĩa là chúng ta không thể cấu hình MAB và hoạt động mà không có Radius
Công tắc phải có cấu hình RADIUS và được kết nối với máy chủ kiểm soát truy cập an toàn của Cisco [ACS]
Chia sẻ cách tạo tệp csv chứa máy Mac của nhóm điểm cuối ISE cụ thể dựa trên đầu vào của người dùng với python.
#!/usr/bin/python
import json
import requests
import warnings
import sys
import csv#ignore invalid cert warnings
warnings.filterwarnings["ignore"]groupID = [""]
temp1 = [""]
temp2 = [""]USR_CHOICE = raw_input ["Do you want to see MACs in Imaging [1] or Blacklist group[2]?"]
while USR_CHOICE not in ['1','2']:
print "************************************"
print "Error! You must enter 1 [ADD] or 2 [REMOVE]"
print "************************************"
sys.exit[]
if USR_CHOICE == '1':
groupID = ''
else:
groupID = ''API_DEVICE = "//:9060/ers/config/endpoint?filter=groupId.EQ." + groupID + "&size=100"
API_ERS_USER = "",""
HEADERS = {
'Accept': "application/json",
'Content-Type': "application/json",
}r = requests.get[url=API_DEVICE, auth=API_ERS_USER, headers=HEADERS, verify=True]
#print r.text
data = r.textendPoints = json.loads[data]
print "Total Number of Endpoints in Group:",endPoints['SearchResult']['total']
print "---------------------------------------"f = open ['Grp_Macs.csv','w']
w = csv.DictWriter[f, fieldnames = ['MAC Address','Description']]
w.writeheader[]
f.close[]for MAC in endPoints ["SearchResult"]["resources"]:
temp1 = MAC['name']
with open ['Grp_Macs.csv','a'] as csvfile:
w = csv.writer[csvfile]
try:
temp2 = MAC['description']
w.writerow[[temp1, temp2]]
print "MAC Address:", temp1, "||", "Description:", temp2
except KeyError:
w.writerow[[temp1, temp2]]
print "MAC Address:", temp1, "||", "Description:"""
continue
with open ['Grp_Macs.csv','a'] as csvfile:
w = csv.writer[csvfile]
TOTAL = endPoints['SearchResult']['total']
w.writerow[['Total Endpoints:', TOTAL]]sys.exit[]
Sử dụng curl để lấy chuỗi nhóm id cho các nhóm cụ thể. Cập nhật tín dụng người dùng/vượt qua. Đầu ra mẫu của csv như sau
Địa chỉ MAC, Mô tả
XX. XX. XX. XX. XX. XX,mô tả1
XX. XX. XX. XX. XX. XX,mô tả2
XX. XX. XX. XX. XX. XX,mô tả3
XX. XX. XX. XX. XX. XX,mô tả4
XX. XX. XX. XX. XX. XX,mô tả5
XX. XX. XX. XX. XX. XX,mô tả6
XX. XX. XX. XX. XX. XX,mô tả7
XX. XX. XX. XX. XX. XX,description8
Tổng số điểm cuối. ,8
Ví dụ cuộn tròn để lấy chuỗi id nhóm.
curl -k --include --header 'Content-Type:application/json' --header 'Accept: application/json' --user : --request GET //:9060/ers/config/endpointgroup?filter=name.EQ.