Configurez RADIUS DTLS sur le Cisco Identity Services Engine

Introduction

Ce document décrit la configuration et le dépannage de RADIUS au-dessus du protocole de Transport Layer Security de datagramme (DTLS). DTLS fournit des services de cryptage pour RADIUS, qui est transporté au-dessus d'un tunnel sécurisé.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Logiciel Cisco Identity Services Engine (ISE)
• Protocole RADIUS
• Cisco IOS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Logiciel Cisco Identity Services Engine 2.2
• Catalyst 3650 avec IOS 16.6.1

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurer

Configurations

1. Ajoutez le périphérique de réseau sur ISE et activez le protocole DTLS.

Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau. Cliquez sur Add et fournissez au moins les champs obligatoires :

• Nom - Un nom amical du périphérique est ajouté.
  
  
• Adresse IP - Adresse IP, que l'authentificateur l'utilise pour entrer en contact avec ISE. Il est possible de configurer une plage des périphériques. Afin de faire cela, spécifiez le masque approprié (plus petit que 32).
  
  
• Profil de périphérique - Paramètres généraux pour le périphérique. Il laisse spécifier quels protocoles sont manipulés, modification détaillée des configurations de l'autorisation (CoA) et de configuration d'attributs RADIUS. Pour plus de détails, naviguez vers la gestion > les ressources de réseau > les profils de périphérique de réseau.
  
  
• Groupe de périphériques réseau - Placez le type de périphérique, IPSec les capacités et l'emplacement de périphérique. Cette configuration n'est pas obligatoire. Si vous ne sélectionnez pas des valeurs en douane, des valeurs par défaut sont assumées.

Les configurations choisies d'authentification de RADIUS de case à cocher et sous des configurations de RADIUS DTLS sélectionnent la case à cocher DTLS exigée. Ceci permet la transmission de RADIUS avec l'authentificateur seulement par l'intermédiaire de DTLS sécurisent le tunnel. Notez que la zone de texte secrète partagée est grisée. Cette valeur en cas de RADIUS DTLS est réparée et la même chaîne est configurée du côté d'authentificateur.

2. Configurez le port DTLS et tournez au ralenti le délai d'attente.

Vous pouvez configurer le port qui est utilisé pour le délai d'attente de transmission et d'inactif DTLS chez la gestion > le système > les configurations > les protocoles > le RADIUS > le RADIUS DTLS.

Notez que le port DTLS est différent des ports de RADIUS. Par défaut, RADIUS utilise les paires 1645, 1646 et 1812, 1813. Par défaut DTLS port 2083 pour l'authentification, l'autorisation, la comptabilité et CoA usages. Le délai d'attente de veille spécifie combien de temps ISE et authentificateur mettent à jour le tunnel sans n'importe quelle transmission réelle allant par elle. Ce délai d'attente est mesuré en secondes et s'étend de 60 à 600 secondes.

3. Émetteur d'exportation de certificat DTLS RADIUS de mémoire de confiance ISE.

Afin d'établir le tunnel entre ISE et authentificateur, les deux entités doivent permuter et vérifier des Certificats. L'authentificateur doit faire confiance au certificat ISE RADIUS DTLS, ainsi il signifie que son émetteur doit être présent dans la mémoire de la confiance de l'authentificateur. Afin d'exporter le signataire du certificat ISE, naviguez vers la gestion > le système > les Certificats, suivant les indications de l'image :

Localisez le certificat avec le rôle de RADIUS DTLS assigné et vérifiez émis par le champ pour ce certificat. C'est le nom commun du certificat qui doit être exporté de la mémoire de confiance ISE. Afin de faire cela, naviguez vers la gestion > le système > les Certificats de CertificatesTrusted. La case à cocher choisie à côté du certificat approprié et le clic exportent.

4. Configurez le point de confiance et le certificat d'importation à l'authentificateur.

Afin de configurer le point de confiance, ouvrez une session au commutateur et exécutez les commandes :

configure terminal
crypto pki trustpoint isetp
enrollment terminal
revocation-check none
exit

Certificat d'importation avec l'isetp de crypto pki authenticate de commande. Une fois incité à recevoir le certificat, tapez oui.

Switch3650(config)#crypto pki authenticate isetp

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificate has the following attributes:
       Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D 
      Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178 

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

5. Certificat d'exportation du commutateur.

Sélectionnez le point de confiance et le certificat à utiliser pour DTLS sur le commutateur et exportez-le :

Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal 
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Afin de répertorier tous les points de confiance configurés, exécutez le show crypto pki trustpoints de commande. Une fois le certificat est imprimé pour le consoler, copier sur un fichier et une sauvegarde sur votre PC.

6. Certificat de commutateur d'importation à la mémoire de confiance ISE.

Sur ISE, naviguez vers la gestion > les Certificats > les Certificats de confiance et cliquez sur l'importation.

Maintenant le clic parcourent et sélectionnent le certificat du commutateur. Fournissez (sur option) le nom amical et sélectionnez les cases à cocher font confiance pour l'authentification dans ISE et font confiance pour l'authentification client et le Syslog. Cliquez sur Submit alors, suivant les indications de l'image :

7. Configurez RADIUS sur le commutateur.

Ajoutez la configuration RADIUS sur le commutateur. Afin de configurer le commutateur pour communiquer avec ISE au-dessus de DTLS, l'utilisation commande :

radius server ISE22
 address ipv4 10.48.23.86
 key radius/dtls
 dtls port 2083
 dtls trustpoint client TP-self-signed-721943660
 dtls trustpoint server isetp

Le reste de la configuration spécifique d'AAA dépend de vos conditions requises et conception. Traitez cette configuration comme exemple :

aaa group server radius ISE
 server name ISE22

radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include

aaa authentication dot1x default group ISE
aaa authorization network default group ISE 

8. Configurez les stratégies sur ISE.

Configurez les stratégies d'authentification et d'autorisation sur ISE. Cette étape dépend de votre conception et conditions requises aussi bien.

Vérifiez

Afin de vérifier que les utilisateurs peuvent authentifier, utiliser la commande d'AAA de test sur le commutateur :

Switch3650#test aaa group ISE alice Krakow123 new-code 
User successfully authenticated

USER ATTRIBUTES

username             0   "alice"
Switch3650#

Vous devriez voir l'utilisateur de message avec succès authentifié. Naviguez vers des exécutions ISE > RADIUS > LiveLog et des détails choisis pour le log approprié (cliquez sur en fonction la loupe) :

Du côté droit de l'état, il y a une liste d'étapes. Vérifiez que la première étape dans la liste est paquet RADIUS est chiffrée.

Supplémentaire, vous pouvez commencer la capture de paquet sur ISE et exécuter la commande d'AAA de test une fois de plus. Afin de commencer la capture, naviguez vers des exécutions > dépannent > des outils de diagnostic > les outils généraux > le vidage mémoire de TCP. Noeud choisi de service de stratégie utilisé pour l'authentification et le début de clic :

Quand l'authentification est de finition, cliquez sur l'arrêt et le téléchargez. Quand vous ouvrez la capture de paquet, vous devriez pouvoir voir le trafic chiffré avec DTLS :

Les paquets #813 - #822 font partie de prise de contact DTLS. Quand la prise de contact est avec succès négociée, des données des applications sont transférées. Notez que le nombre de paquets peut varier et dépend par exemple de la méthode d'authentification utilisée (PAP, EAP-PEAP, EAP-TLS, etc.). Le contenu de chaque paquet est chiffré :

Quand toutes les données sont transmises, le tunnel n'est pas démoli immédiatement. IdleTimeout a configuré sur ISE détermine combien de temps le tunnel peut être établi sans transmission allant par lui. Si le temporisateur expire et la nouvelle Access-demande doit être envoyée à ISE, la prise de contact DTLS est exécutée et le tunnel est reconstruit. 

Dépanner

1. ISE ne reçoit aucune demande.

Notez que le port du par défaut DTLS est 2083. Les ports par défaut de RADIUS sont 1645,1646 et 1812,1813. Assurez-vous que le Pare-feu ne bloque pas le trafic UDP/2083.

2. La prise de contact DTLS échoue.

Dans le rapport détaillé sur ISE vous pouvez voir que la prise de contact DTLS a manqué :

Le possible raison est que le commutateur ou l'ISE fait pas certificat de confiance envoyé pendant la prise de contact. Vérifiez la configuration de certificat. Vérifiez que le certificat approprié est assigné au rôle de RADIUS DTLS sur ISE et aux points de confiance sur le commutateur.