Introduction
Ce document décrit la fonctionnalité d'authentification RADIUS (Remote Authentication Dial In User Service) introduite dans ThreatGrid (TG) version 2.10. Il permet aux utilisateurs de se connecter au portail Admin ainsi qu'au portail Console avec des informations d'identification stockées dans le serveur AAA (Authentication, Authorization and Accounting).
Dans ce document, vous trouverez les étapes nécessaires pour configurer la fonctionnalité.
Conditions préalables
Conditions requises
- ThreatGrid version 2.10 ou ultérieure
- Serveur AAA prenant en charge l'authentification RADIUS sur DTLS (draft-ietf-radext-dtls-04)
Components Used
- Appliance ThreatGrid 2.10
- Identity Services Engine (ISE) 2.7
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Cette section fournit des instructions détaillées sur la façon de configurer la fonctionnalité ThreatGrid Appliance et ISE pour l'authentification RADIUS.
Note: Afin de configurer l'authentification, assurez-vous que la communication sur le port UDP 2083 est autorisée entre l'interface ThreatGrid Clean et le noeud de service de stratégie ISE (PSN).
Configuration
Étape 1. Préparez le certificat ThreatGrid pour l'authentification.
RADIUS sur DTLS utilise l'authentification mutuelle des certificats, ce qui signifie que le certificat d'autorité de certification (CA) d'ISE est nécessaire. Vérifiez d'abord quel certificat RADIUS DTLS CA a signé :

Étape 2. Exporter le certificat CA à partir d'ISE.
Accédez à Administration > System > Certificates > Certificate Management > Trusted Certificates, localisez l'autorité de certification, sélectionnez Export comme indiqué dans l'image et enregistrez le certificat sur le disque pour plus tard :

Étape 3. Ajoutez ThreatGrid en tant que périphérique d'accès au réseau.
Accédez à Administration > Network Resources > Network Devices > Add pour créer une nouvelle entrée pour TG et entrez le Name, IP address de l'interface Clean et sélectionnez DTLS Required comme indiqué dans l'image. Cliquez sur Enregistrer en bas :

Étape 4. Créez un profil d'autorisation pour la stratégie d'autorisation.
Accédez à Stratégie > Éléments de stratégie > Résultats > Autorisation > Profils d'autorisation et cliquez sur Ajouter. Entrez Name et sélectionnez Advanced Attributes Settings comme indiqué dans l'image, puis cliquez sur Save :

Étape 5. Créez une stratégie d'authentification.
Naviguez jusqu'à Policy > Policy Sets et cliquez sur "+« . Entrez Nom du jeu de stratégies et définissez la condition sur Adresse IP NAD, attribuée à l'interface propre de TG, cliquez sur Enregistrer comme indiqué dans l'image :

Étape 6. Créez une stratégie d'autorisation.
Cliquez sur ">" pour accéder à la stratégie d'autorisation, développez la stratégie d'autorisation, cliquez sur "+" et configurez comme indiqué dans l'image, une fois que vous avez terminé, cliquez sur Enregistrer :

Conseil : vous pouvez créer une règle d'autorisation pour tous vos utilisateurs qui correspondent aux deux conditions, Admin et UI.
Étape 7. Créez un certificat d'identité pour ThreatGrid.
Le certificat client de ThreatGrid doit être basé sur la clé Elliptic Curve :
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
Il doit être signé par l'autorité de certification en qui ISE fait confiance. Consultez la page Importer les certificats racines dans le magasin de certificats de confiance pour plus d'informations sur la façon d'ajouter un certificat d'autorité de certification au magasin de certificats de confiance ISE.
Étape 8. Configurez ThreatGrid pour utiliser RADIUS.
Connectez-vous au portail admin, accédez à Configuration >RADIUS. Dans RADIUS CA Certificate, collez le contenu du fichier PEM collecté à partir d'ISE, dans Client Certificate, collez le certificat au format PEM reçu de CA et dans Client Key, collez le contenu du fichier private-ec-key.pem à partir de l'étape précédente, comme illustré dans l'image. Cliquez sur Enregistrer :

Note: Vous devez reconfigurer l'appliance TG après avoir enregistré les paramètres RADIUS.
Étape 9. Ajoutez le nom d'utilisateur RADIUS aux utilisateurs de la console.
Pour vous connecter au portail de la console, vous devez ajouter l'attribut Nom d'utilisateur RADIUS à l'utilisateur respectif, comme indiqué dans l'image :

Étape 10. Activez l'authentification RADIUS uniquement.
Une fois la connexion au portail d'administration terminée, une nouvelle option apparaît, qui désactive complètement l'authentification du système local et laisse le seul système RADIUS.

Vérification
Une fois que TG a été reconfiguré, déconnectez-vous et maintenant les pages de connexion ressemblent respectivement aux images, à l'administrateur et au portail de console :


Dépannage
Trois composants peuvent poser des problèmes : ISE, connectivité réseau et ThreatGrid.
- Dans ISE, assurez-vous qu'il renvoie ServiceType=Administrative aux demandes d'authentification de ThreatGrid. Accédez à Operations>RADIUS>Live Logs sur ISE et vérifiez les détails :


- Si ces requêtes ne s'affichent pas, effectuez une capture de paquets sur ISE. Accédez à Operations>Troubleshoot>Diagnostic Tools>TCP Dump, fournissez l'adresse IP dans le champ Filter de l'interface propre du TG, cliquez sur Start et essayez de vous connecter à ThreatGrid :

Vous devez voir augmenter le nombre d'octets. Ouvrez le fichier pcap dans Wireshark pour plus d'informations.
- Si vous voyez l'erreur « Désolé, mais un problème est survenu » après avoir cliqué sur Enregistrer dans ThreatGrid et que la page ressemble à ceci :

Cela signifie que vous avez probablement utilisé la clé RSA pour le certificat client. Vous devez utiliser la clé ECC avec les paramètres spécifiés à l'étape 7.