はじめに
本ドキュメントでは、セッション管理のためのクエリーAPIを使用し、ISEに保持されている古いセッションの削除方法を紹介します。
一部のデバイスでは、WLCなどにより、古いセッションを保持している場合があります。この場合、URL (HTTP,HTTPS)構文のデータを転送するための無償のサードパーティ製のコマンドラインツールであるcURLを利用することで、手動で非アクティブなセッションを削除するには効率的です。
なお本ドキュメントはISE 3.1での確認結果を元に作成しております。ISEのバージョンアップに伴い仕様が変更される可能性もございますので、その点はご留意ください。
MACアドレス指定の古いセッションを削除する方法
下記のコマンドで、手動でMACアドレスを指定した古いセッションを削除することが可能です。
curl -u <username> -X DELETE https://<MnT node IP>/ise/mnt/api/Session/Delete/MACAddress/<madaddress>
ご注意していただきたいのは、-uの後についている<username>にはISEログインに使われているユーザー名を入力する必要があります。また、<MnT node IP>にはMnTノードのIPアドレスを入れる必要があります。
セッションID指定の古いセッションを削除する方法
下記のコマンドで、手動でMACアドレスを指定した古いセッションを削除することが可能です。
curl -u <username> -X DELETE https://<MnT node IP>/ise/mnt/api/Session/Delete/SessionID/<session id#>
すべてのセッションを削除する方法
下記のコマンドで、データベースにあるすべてのセッションを削除することが可能です。アクティブセッションも強制的に削除されますので、利用する前に、十分ご注意ください。
curl -u <username> --insecure -X DELETE https://<MnT node IP>/ise/mnt/api/Session/Delete/All
実行例:
curl -u admin --insecure -X DELETE https://10.xx.xx.xx/ise/mnt/api/Session/Delete/All
Enter host password for user 'admin':
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><mnt-rest-result><http-code>200</http-code><cpm-code>52092</cpm-code><description>The software update was completed successfully</description><module-name>MnT</module-name><internal-error-info></internal-error-info><requested-operation>Not Available</requested-operation><resource-id>0</resource-id><resource-name>MNT_RAD_SESS</resource-name><status>SUCCESSFUL</status></mnt-rest-result>
最後の<Status>には「SUCCESSFUL」が表示されれば、APIコールの発行と実行が成功であることがわかります。
参考情報
Cisco Identity Services Engine API Reference Guide, Release 2.7
https://www.cisco.com/c/en/us/td/docs/security/ise/2-7/api_ref_guide/api_ref_book/ise_api_ref_ch2.html#pgfId-1093017
