¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configure ThreatGrid RADIUS sobre la autenticación DTL para la consola y el portal de OPadmin

Opciones de descarga

  • PDF     (1.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (928.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de abril de 2020
ID del documento:215420
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el dial de la autenticación remota en la característica de la autenticación del servicio de usuario (RADIUS) que fue introducida en la versión 2.10 de ThreatGrid (TG). Permite que los usuarios se abran una sesión al portal Admin así como que consuelen el portal con las credenciales salvadas en el servidor de la autenticación, de la autorización y de las estadísticas (AAA).

    En este documento usted encuentra los pasos necesarios para configurar la característica.

    Prerrequisitos

    Requisitos

    • Versión 2.10 o posterior de ThreatGrid
    • Servidor AAA que utiliza el RADIUS sobre la autenticación DTL (draft-ietf-radext-dtls-04)

    Componentes Utilizados

    • Dispositivo 2.10 de ThreatGrid
    • Identity Services Engine (ISE) 2.7

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Configurar

    Esta sección proporciona a las Instrucciones detalladas en cómo configurar el dispositivo de ThreatGrid e ISE para la característica de la autenticación de RADIUS.

    Nota: Para configurar la autenticación, asegúrese de que la comunicación sobre el puerto UDP 2083 está permitida entre el interfaz limpio y el nodo del servicio de la directiva ISE (PSN) de ThreatGrid.

    Configuración

    Paso 1. Elabore el certificado de ThreatGrid para la autenticación.

    El RADIUS sobre los DTL utiliza la autenticación mutua del certificado que significa que el certificado del Certificate Authority (CA) de ISE es necesario. En primer lugar controle qué CA firmó el certificado RADIUS DTL:

    Paso 2. Exporte el certificado CA de ISE.

    Navegue a la administración > al sistema > al Certificate Management (Administración de certificados) > a los certificados confiables de los Certificados, localice el CA, exportación selecta tal y como se muestra en de la imagen, y salve el certificado al disco para más adelante:

    Paso 3. Agregue ThreatGrid como dispositivo de acceso a la red.

    Navegue a la administración > a los recursos de red > a los dispositivos de red > agregan para crear una nueva entrada para el TG y para ingresar el nombre, el IP address del interfaz limpio y los DTL selectos requeridos tal y como se muestra en de la imagen. Haga clic la salvaguardia en la parte inferior:

    Paso 4. Cree un perfil de la autorización para la directiva de la autorización.

    Navegue a los elementos de la directiva > de la directiva > a los resultados > a la autorización > a los perfiles de la autorización y el tecleo agrega. Ingrese el nombre y seleccione las configuraciones avanzadas de los atributos tal y como se muestra en de la imagen y haga clic la salvaguardia:

    Paso 5. Cree una política de autenticación.

    Navegue a la directiva > a los conjuntos y al tecleo de la directiva+”. Ingrese el nombre del conjunto de la directiva y fije la condición al IP address NAD, asignado al interfaz limpio TG, salvaguardia del tecleo tal y como se muestra en de la imagen:

    Paso 6. Cree una directiva de la autorización.

    Haga clic en “>” ir a la directiva de la autorización, ampliar la directiva de la autorización, tecleo “+” y configurarla tal y como se muestra en de la imagen, después de que usted acabe la salvaguardia del tecleo:

    Consejo: Usted puede crear una regla de la autorización para todos sus usuarios que hagan juego ambas condiciones, Admin y UI.

    Paso 7. Cree un certificado de identidad para ThreatGrid.

    El certificado del cliente de ThreatGrid se debe basar en la clave elíptica de la curva:

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Tiene que ser firmado por el CA que ISE confía en. Controle la importación que los certificados raíz al almacén del certificado confiable paginan para más información de cómo agregar el certificado CA al almacén del certificado confiable ISE.

    Paso 8. Configure ThreatGrid para utilizar el RADIUS.

    Ábrase una sesión al portal admin, navegue a Configuration>RADIUS. En el certificado CA RADIUS pegue el contenido del fichero PEM recogido de ISE, en el certificado formatado PEM de la goma del certificado del cliente recibido del CA y en el contenido de la goma de la clave del cliente del fichero private-ec-key.pem del paso anterior tal y como se muestra en de la imagen. Salvaguardia del tecleo:

    Nota: Usted debe configurar de nuevo el dispositivo TG después de que usted salve las configuraciones RADIUS.

    Paso 9. Agregue el nombre de usuario de RADIUS a los usuarios de la consola.

    Para abrirse una sesión para consolar el portal, usted debe agregar el atributo del nombre de usuario de RADIUS al usuario respectivo tal y como se muestra en de la imagen:

    Paso 10. Autenticación del permiso RADIUS solamente.

    Después de la registración satisfactoria al portal admin, una nueva opción aparece, que inhabilita totalmente la autenticación del sistema local y sale el único basado en RADIUS.

    Verificación

    Después de que se haya configurado de nuevo el TG, termine una sesión y ahora las páginas de registro parecen en las imágenes, admin y consuelan el portal respectivamente:

    Troubleshooting

    Hay tres componentes que podrían causar los problemas: ISE, conectividad de red y ThreatGrid.

    • En ISE, asegúrese de que vuelva ServiceType=Administrative a las peticiones de la autenticación de ThreatGrid. Navegue a Operations>RADIUS>Live abre una sesión ISE y controla los detalles:


    • Si usted no ve estas peticiones, haga a una captura de paquetes en ISE. Navegue al volcado de Operations>Troubleshoot>Diagnostic Tools>TCP, proporcione al IP en el campo del filtro del interfaz limpio TG, haga clic el comienzo e intente abrirse una sesión en ThreatGrid:

    Usted debe ver que la cantidad de bytes aumentó. Abra el fichero del pcap en Wireshark para más información.

    • Si usted ve el error “lo sentimos, pero algo salió mal” después de que usted haga clic la salvaguardia en ThreatGrid y la página parece esto:

    Eso significa que usted utilizó lo más probablemente posible la clave RSA para el certificado del cliente. Usted debe utilizar al ECC cierra con los parámetros especificados en el paso 7.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Radek Olszowy
      Ingeniero ATS TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros