Configuration de RADIUS DTLS sur Identity Services Engine

Introduction

Ce document décrit la configuration et le dépannage de RADIUS sur le protocole DTLS (Datagram Transport Layer Security Protocol). DTLS fournit des services de cryptage pour RADIUS, qui est transporté via un tunnel sécurisé.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Cisco Identity Services Engine (ISE)
• protocole RADIUS
• Cisco IOS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco Identity Services Engine 2.2
• Catalyst 3650 avec IOS 16.6.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Configurer

Configurations

1. Ajoutez un périphérique réseau sur ISE et activez le protocole DTLS.

Accédez à Administration > Network Resources > Network Devices. Cliquez sur Add et fournissez au moins les champs obligatoires :

• Nom : un nom convivial du périphérique est ajouté.
  
  
• Adresse IP : adresse IP que l'authentificateur utilise pour contacter ISE. Il est possible de configurer une plage de périphériques. Pour ce faire, spécifiez le masque approprié (inférieur à 32).
  
  
• Device Profile : paramètres généraux du périphérique. Il permet de spécifier les protocoles qui sont gérés, les paramètres détaillés de modification d'autorisation (CoA) et la configuration des attributs Radius. Pour plus d'informations, accédez à Administration > Network Resources > Network Device Profiles.
  
  
• Network Device Group : définissez le type de périphérique, IPSec les fonctionnalités et l'emplacement du périphérique. Ce paramètre n'est pas obligatoire. Si vous ne sélectionnez pas de valeurs personnalisées, les paramètres par défaut sont utilisés.

Cochez la case RADIUS Authentication Settings et sous RADIUS DTLS Settings, cochez la case DTLS Required. Cela permet la communication RADIUS avec l'authentificateur uniquement via le tunnel sécurisé DTLS. Notez que la zone de texte Secret partagé est grisée. Cette valeur en cas de DTLS RADIUS est fixe et la même chaîne est configurée côté authentificateur.

2. Configurez le port DTLS et le délai d’inactivité.

Vous pouvez configurer le port qui est utilisé pour la communication DTLS et le délai d'inactivité dans Administration > System > Settings > Protocols > RADIUS > RADIUS DTLS.

Notez que le port DTLS est différent des ports RADIUS. Par défaut, un RADIUS utilise les paires 1645, 1646 et 1812, 1813. Par défaut, DTLS pour l'authentification, l'autorisation, la comptabilité et CoA utilise le port 2083. Délai d'inactivité spécifie la durée pendant laquelle ISE et l'authentificateur conservent le tunnel sans qu'aucune communication réelle ne le traverse. Ce délai d'attente se mesure en secondes et s'étend de 60 à 600 secondes.

3. Exportez l'émetteur du certificat DTLS RADIUS à partir du magasin de confiance ISE.

Afin d'établir le tunnel entre ISE et l'authentificateur, les deux entités doivent échanger et vérifier des certificats. L'authentificateur doit faire confiance au certificat DTLS RADIUS ISE, ce qui signifie que son émetteur doit être présent dans le magasin de confiance de l'authentificateur. Afin d'exporter le signataire du certificat ISE, naviguez à Administration > System > Certificates, comme indiqué dans l'image :

Recherchez le certificat auquel le rôle RADIUS DTLS a été attribué et cochez la case Émis par pour ce certificat. Il s'agit du nom commun du certificat qui doit être exporté à partir de l'ISE Trust Store. Pour ce faire, accédez à Administration > System > CertificatesTrusted Certificates. Cochez la case en regard du certificat approprié et cliquez sur Exporter.

4. Configurez le point de confiance et importez le certificat vers l'authentificateur.

Afin de configurer trustpoint, connectez-vous au commutateur et exécutez les commandes :

configure terminal
crypto pki trustpoint isetp
enrollment terminal
revocation-check none
exit

Importez le certificat avec la commande crypto pki authenticate isetp. Lorsque vous êtes invité à accepter le certificat, tapez yes.

Switch3650(config)#crypto pki authenticate isetp

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificate has the following attributes:
       Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D 
      Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178 

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

5. Exportez le certificat du commutateur.

Sélectionnez le point de confiance et le certificat à utiliser pour DTLS sur le commutateur et exportez-le :

Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal 
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----
MIICKTCCAZKgAwIBAgIBATANBgkqhkiG9w0BAQUFADAwMS4wLAYDVQQDEyVJT1Mt
U2VsZi1TaWduZWQtQ2VydGlmaWNhdGUtNzIxOTQzNjYwMB4XDTE2MDQyNzExNDYw
NloXDTIwMDEwMTAwMDAwMFowMDEuMCwGA1UEAxMlSU9TLVNlbGYtU2lnbmVkLUNl
cnRpZmljYXRlLTcyMTk0MzY2MDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA
xRybTGD526rPYuD2puMJu8ANcDqQnwunIERgvIWoLwBovuAu7WcRmzw1IDTDryOH
PXt1n5GcQSAOgn+9QdvKl1Z43ZkRWK5E7EGmjM/aL1287mg4/NlrWr4KMSwDQBJI
noJ52CABXUoApuiiJ8Ya4gOYeP0TmsZtxP1N+s+wqjMCAwEAAaNTMFEwDwYDVR0T
AQH/BAUwAwEB/zAfBgNVHSMEGDAWgBSEOKlAPAHBPedwichXL+qUM+1riTAdBgNV
HQ4EFgQUhDipQDwBwT3ncInIVy/qlDPta4kwDQYJKoZIhvcNAQEFBQADgYEAlBNN
wKSS8yBuOH0/jUV7sy3Y9/oV7Z9bW8WFV9QiTQ1lZelvWMTbewozwX2LJvxobGcj
Pi+n99RIH8dBhWwoYl9GTN2LVI22GIPX12jNLqps+Mq/u2qxVm0964Sajs5OlKjQ
69XFfCVot1NA6z2eEP/69oL9x0uaJDZa+6ileh0=
-----END CERTIFICATE-----

Afin de lister tous les points de confiance configurés, exécutez la commande show crypto pki trustpoints. Une fois le certificat imprimé sur la console, copiez-le dans un fichier et enregistrez-le sur votre PC.

6. Importez le certificat de commutateur dans le magasin de gestion de la confidentialité ISE.

Sur ISE, accédez à Administration > Certificates > Trusted Certificates et cliquez sur Import.

Cliquez maintenant sur Browse et sélectionnez le certificat du commutateur. Indiquez (en option) un nom convivial et cochez les cases Trust for authentication within ISE et Trust for client authentication and Syslog. Cliquez ensuite sur Submit, comme indiqué dans l'image :

7. Configurez RADIUS sur le commutateur.

Ajoutez la configuration RADIUS sur le commutateur. Afin de configurer le commutateur pour communiquer avec ISE sur DTLS, utilisez les commandes suivantes :

radius server ISE22
 address ipv4 10.48.23.86
 key radius/dtls
 dtls port 2083
 dtls trustpoint client TP-self-signed-721943660
 dtls trustpoint server isetp

Le reste de la configuration spécifique AAA dépend de vos exigences et de votre conception. Considérez cette configuration comme un exemple :

aaa group server radius ISE
 server name ISE22

radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include

aaa authentication dot1x default group ISE
aaa authorization network default group ISE 

8. Configurez les stratégies sur ISE.

Configurez les stratégies d'authentification et d'autorisation sur ISE. Cette étape dépend également de votre conception et de vos exigences.

Vérifier

Afin de vérifier que les utilisateurs peuvent s'authentifier, utilisez la commande test aaa sur le commutateur :

Switch3650#test aaa group ISE alice Krakow123 new-code 
User successfully authenticated

USER ATTRIBUTES

username             0   "alice"
Switch3650#

Le message User successfully authenticated (Utilisateur authentifié) doit s'afficher. Accédez à ISE Operations > RADIUS > LiveLog et sélectionnez les détails du journal approprié (cliquez sur la loupe) :

La partie droite du rapport contient une liste d'étapes. Vérifiez que la première étape de la liste est que le paquet RADIUS est chiffré.

En outre, vous pouvez démarrer la capture de paquets sur ISE et exécuter la commande test aaa une fois de plus. Pour démarrer la capture, accédez à Operations > Troubleshoot > Diagnostic Tools > General Tools > TCP Dump. Sélectionnez Noeud de service de stratégie utilisé pour l'authentification et cliquez sur Démarrer :

Une fois l'authentification terminée, cliquez sur Stop and Download. Lorsque vous ouvrez la capture de paquets, vous devriez pouvoir voir le trafic chiffré avec DTLS :

Les paquets #813 - #822 font partie de la connexion DTLS. Une fois la négociation réussie, les données d'application sont transférées. Notez que le nombre de paquets peut varier et dépend par exemple de la méthode d'authentification utilisée (PAP, EAP-PEAP, EAP-TLS, etc). Le contenu de chaque paquet est chiffré :

Lorsque toutes les données sont transmises, le tunnel n'est pas immédiatement désactivé. IdleTimeout configuré sur ISE détermine la durée pendant laquelle le tunnel peut être établi sans que la communication ne le traverse. Si le minuteur expire et que la nouvelle demande d'accès doit être envoyée à ISE, une connexion DTLS est effectuée et le tunnel est reconstruit. 

Dépannage

1. ISE ne reçoit aucune demande.

Notez que le port DTLS par défaut est 2083. Les ports RADIUS par défaut sont 1645,1646 et 1812,1813. Vérifiez que le pare-feu ne bloque pas le trafic UDP/2083.

2. La connexion DTLS échoue.

Dans le rapport détaillé sur ISE, vous pouvez voir que la connexion DTLS a échoué :

La raison possible est que le commutateur ou ISE ne fait pas confiance au certificat envoyé pendant la connexion. Vérifiez la configuration du certificat. Vérifiez que le certificat approprié est attribué au rôle RADIUS DTLS sur ISE et aux points de confiance sur le commutateur.