Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez ThreatGrid RADIUS au-dessus de l'authentification DTLS pour la console et le portail d'OPadmin

Options de téléchargement

  • PDF     (1.3 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (930.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 avril 2020
ID du document:215420
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit l'authentification à distance se connectent la fonction d'authentification de service d'utilisateur (RADIUS) qui a été introduite dans la version 2.10 de ThreatGrid (TG). Il permet à des utilisateurs pour ouvrir une session au portail d'admin aussi bien que pour consoler le portail avec des qualifications enregistrées dans le serveur d'authentification, d'autorisation et de comptabilité (AAA).

    Dans ce document vous trouvez les étapes nécessaires pour configurer la caractéristique.

    Conditions préalables

    Exigences

    • Version 2.10 ou ultérieures de ThreatGrid
    • Serveur d'AAA qui prend en charge RADIUS au-dessus de l'authentification DTLS (draft-ietf-radext-dtls-04)

    Composants utilisés

    • Appliance 2.10 de ThreatGrid
    • Cisco Identity Services Engine (ISE) 2.7

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

    Configurer

    Cette section fournit le mode d'emploi détaillé sur la façon dont configurer l'appliance de ThreatGrid et l'ISE pour la fonction d'authentification de RADIUS.

    Remarque: Afin de configurer l'authentification, assurez-vous que la transmission sur l'UDP 2083 de port est permise entre l'interface propre de ThreatGrid et le noeud de service de stratégie ISE (le RPC).

    Configuration

    Étape 1. Préparez le certificat de ThreatGrid pour l'authentification.

    RADIUS au-dessus de DTLS utilise l'authentification mutuelle de certificat qui signifie que le certificat d'Autorité de certification (CA) d'ISE est nécessaire. Premier contrôle quel CA a signé le certificat de RADIUS DTLS :

    Étape 2. Exportez le certificat de CA d'ISE.

    Naviguez vers la gestion > le système > les Certificats > la Gestion de certificat > les Certificats de confiance, localisez le CA, exportation choisie suivant les indications de l'image, et sauvegardez le certificat au disque pour plus tard :

    Étape 3. Ajoutez ThreatGrid comme périphérique d'accès au réseau.

    Naviguez vers la gestion > les ressources de réseau > les périphériques de réseau > ajoutent pour créer une nouvelle entrée pour le TG et pour écrire le nom, l'adresse IP de l'interface propre et le DTLS choisi requis suivant les indications de l'image. Sauvegarde de clic au bas :

    Étape 4. Créez un profil d'autorisation pour la stratégie d'autorisation.

    Naviguez vers des éléments de stratégie > de stratégie > des résultats > l'autorisation > des profils d'autorisation et cliquez sur Add. Écrivez le nom et les configurations avancées choisies d'attributs suivant les indications de l'image et cliquez sur la sauvegarde :

    Étape 5. Créez une stratégie d'authentification.

    Naviguez vers la stratégie > les positionnements et le clic de stratégie « + ». Écrivez le nom réglé de stratégie et placez la condition à l'adresse IP NAD, assignée à l'interface propre du TG, sauvegarde de clic suivant les indications de l'image :

    Étape 6. Créez une stratégie d'autorisation.

    Cliquez sur en fonction « > » pour aller à la stratégie d'autorisation, développer la stratégie d'autorisation, clic « + » et la configurer suivant les indications de l'image, après que vous terminiez la sauvegarde de clic :

    Conseil : Vous pouvez créer une règle d'autorisation pour tous vos utilisateurs qui apparient les deux conditions, admin et UI.

    Étape 7. Créez un certificat d'identité pour ThreatGrid.

    Le certificat client de ThreatGrid doit être basé sur la clé elliptique de curve :

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Il doit être signé par le CA au lequel ISE fait confiance. L'importation de contrôle les certificats racine au certificat de confiance enregistrent le pour en savoir plus de page de la façon ajouter le certificat de CA à la mémoire de certificat de confiance ISE.

    Étape 8. Configurez ThreatGrid pour utiliser RADIUS.

    Ouvrez une session au portail d'admin, naviguez vers Configuration>RADIUS. En pâte de certificat de CA de RADIUS le contenu du fichier PEM collecté d'ISE, dans le PEM de pâte de certificat client a formaté le certificat reçu du CA et dans la teneur en pâte de clé de client du fichier private-ec-key.pem de l'étape précédente suivant les indications de l'image. Sauvegarde de clic :

    Remarque: Vous devez modifier l'appliance TG après que vous sauvegardiez des configurations de RADIUS.

    Étape 9. Ajoutez le nom d'utilisateur RADIUS pour consoler des utilisateurs.

    Afin d'ouvrir une session pour consoler le portail, vous devez ajouter l'attribut de nom d'utilisateur RADIUS à l'utilisateur respectif suivant les indications de l'image :

    Étape 10. Authentification de RADIUS d'enable seulement.

    Après procédure de connexion réussie au portail d'admin, une nouvelle option apparaît, qui désactive complètement l'authentification de système local et part le seul basé sur RADIUS.

    Vérifiez

    Après que le TG ait été modifié, la déconnexion et maintenant les pages de connexion ressemblent à dans les images, admin et consolent le portail respectivement :

    Dépanner

    Il y a trois composants qui pourraient poser des problèmes : ISE, connexion réseau et ThreatGrid.

    • Dans ISE, assurez-vous qu'il renvoie ServiceType=Administrative aux demandes d'authentification de ThreatGrid. Naviguez vers les logins ISE d'Operations>RADIUS>Live et vérifiez les détails :


    • Si vous ne voyez pas ces demandes, faites une capture de paquet sur ISE. Naviguez vers le vidage mémoire d'Operations>Troubleshoot>Diagnostic Tools>TCP, fournissez l'IP dans le champ de filtre de l'interface propre du TG, cliquez sur le début et l'essai pour ouvrir une session sur ThreatGrid :

    Vous devez voir que le nombre d'octets a augmenté. Fichier ouvert de pcap dans le pour en savoir plus de Wireshark.

    • Si vous voyez l'erreur « nous sommes désolés, mais quelque chose est allée mal » après que vous cliquiez sur la sauvegarde dans ThreatGrid et la page ressemble à ceci :

    Cela signifie que vous avez utilisé le plus probablement la clé RSA pour le certificat client. Vous devez utiliser la clé ECC avec les paramètres spécifiés dans l'étape 7.

    TAC Authored

    Contribution d’experts de Cisco

    • Radek Olszowy
      Ingénieur ATS TAC

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous