Aller au contenu principal

Cisco ISE

Vue d'ensemble​

Cisco Identity Service Engine est une solution d'administration de réseaux qui permet de simplifier le contrôle d'accès réseaux sécurisés.

Le connecteur de supervision Centreon Cisco ISE permet (par l'interrogation de l'API REST) de récupérer le nombre de sessions active et de sessions profiler service ainsi que le nombre que le nombre de postured endpoints.

Contenu du connecteur de supervision​

Objets supervisés​

  • Cisco Identity Service Engine

Métriques collectées​

Metric nameDescriptionUnit
sessions.active.countThe number of active sessionsCount
endpoints.postured.countThe number of postured endpointsCount
sessions.profiler.countThe number of profiler service sessionsCount

Prérequis​

L'utilisateur renseigné dans la Macro d'Hôte (plus d'information ici doit faire partie des groupes Admin suivants et les informations d'identification doivent être stockées dans la base de données interne de Cisco ISE (utilisateurs administratifs internes)

  • Super Admin
  • System Admin
  • MnT Admin

De plus, le collecteur Centreon en charge de la supervision des ressources doit également pouvoir joindre l'API Rest de Cisco ISE sur le(s) port(s) TCP/80 ou TCP/443. Plus d'informations sur le site officiel de Cisco : https://developer.cisco.com/docs/identity-services-engine/3.0/#!introduction-to-monitoring-rest-apis/verifying-a-monitoring-node

Installation​

  1. Installer le Plugin sur tous les collecteurs Centreon devant superviser des ressources Cisco Identity Service Engine:
yum install centreon-plugin-Applications-Cisco-Ise-Restapi
  1. Sur l'interface Web de Centreon, installer le connecteur de supervision Cisco ISE depuis la page Configuration > Gestionnaire de connecteurs de supervision

Configuration​

Hôte​

  • Ajoutez un nouvel Hôte depuis la page "Configuration > Hôtes"".
  • Complétez les champs "Nom","Alias" & "IP Address / DNS" correspondant à votre Cisco Identity Service Engine
  • Appliquez le Modèle d'Hôte Applications-Cisco-Ise-Restapi-custom
MandatoryNameDescription
XISECUSTOMMODEMode used by plugin (Default: 'xmlapi')
XISEAPIURLPATHPath to the ISE API (Default: '/admin/API/mnt')
XISEAPIPORTPort of the ISE API instance (Default: '443')
XISEAPIPROTOProtocol used by the ISE API (Default : 'https')
XUSERNAMEUsername to access ISE API
XPASSWORDPassword to access ISE API
EXTRAOPTIONSAny extra option you may want to add to every command_line (eg. a --verbose flag)

FAQ​

Comment tester mes configurations et le Plugin en ligne de commande ?​

Une fois le Plugin installé, vous pouvez tester celui-ci directement en ligne de commande depuis un collecteur Centreon en vous connectant avec l'utilisateur centreon-engine :

/usr/lib/centreon/plugins/centreon_cisco_ise_restapi.pl \
--plugin=apps::cisco::ise::restapi::plugin \
--mode=session \
--custommode='xmlapi' \
--hostname='10.0.0.1' \
--url-path='admin/API/mnt' \
--username='user' \
--password='password' \
--port='443' \
--proto='https' \
--filter-counters='' \
--warning-active-sessions='20' \
--critical-active-sessions='50' \
--warning-postured-endpoints='' \
--critical-postured-endpoints='' \
--warning-profiler-service-sessions='' \
--critical-profiler-service-sessions='' \
--use-new-perfdata

La commande devrait retourner un message de sortie de la forme ci-dessous :

OK : Active sessions: 10, Postured endpoints: 20, Profiler service sessions: 20 | 'sessions.active.count'=10;0:20;0:50;0; 'endpoints.postured.count'=20;;;0 'sessions.profiler.count'=20;;;0;

Dans cet exemple, une alarme de type WARNING est déclenchée si le nombre de sessions actives est supérieur à 20.

Une alarme CRITICAL est quant à elle déclenchée si le nombre de sessions actives est supérieur à 50.

La liste de toutes les options complémentaires et leur signification peut être affichée en ajoutant le paramètre --help à la commande:

/usr/lib/centreon/plugins/centreon_cisco_ise_restapi.pl \
--plugin=apps::cisco::ise::restapi::plugin \
--mode=session \
--help

Tous les modes disponibles peuvent être affichés via l'option --list-mode :

/usr/lib/centreon/plugins/centreon_cisco_ise_restapi.pl \
--plugin=apps::cisco::ise::restapi::plugin \
--list-mode

J'obtiens le message d'erreur suivant: UNKNOWN: 500 Can't connect to 10.0.0.1:443 |​

Cette erreur signifie que Centreon n'a pas réussi à se connecter à l'API du serveur Ciso ISE. Vérifiez que la requête n'est pas bloquée par un outil externe (un pare-feu par exemple). Si vous utilisez un proxy, renseignez son URL dans la Macro EXTRAOPTIONS de l'Hôte ou directement dans la commande avec l'option --proxyurl='http://proxy.mycompany:8080'.

J'obtiens le message d'erreur suivant: ``UNKNOWN: 501 Protocol scheme 'connect' is not supported |```​

Dans certains cas, et plus spécifiquement lors de l'usage d'un proxy d'entreprise, le protocole de connexion n'est pas supporté par la libraire lwp utlisée par défaut par le Plugin Centreon.

Cette erreur peut être résolue en utilisant le backend HTTP curl. Pour ce faire, ajoutez l'option --http-backend='curl' dans la Macro EXTRAOPTIONS de l'Hôte ou directement à la commande.