Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurer ThreatGrid RADIUS sur l'authentification DTLS pour la console et le portail OPadmin

Options de téléchargement

  • PDF     (1.2 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.2 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (928.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 avril 2020
ID du document:215420

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la fonctionnalité d'authentification RADIUS (Remote Authentication Dial In User Service) introduite dans ThreatGrid (TG) version 2.10. Il permet aux utilisateurs de se connecter au portail Admin ainsi qu'au portail Console avec des informations d'identification stockées dans le serveur AAA (Authentication, Authorization and Accounting).

    Dans ce document, vous trouverez les étapes nécessaires pour configurer la fonctionnalité.

    Conditions préalables

    Conditions requises

    • ThreatGrid version 2.10 ou ultérieure
    • Serveur AAA prenant en charge l'authentification RADIUS sur DTLS (draft-ietf-radext-dtls-04)

    Components Used

    • Appliance ThreatGrid 2.10
    • Identity Services Engine (ISE) 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Configuration

    Cette section fournit des instructions détaillées sur la façon de configurer la fonctionnalité ThreatGrid Appliance et ISE pour l'authentification RADIUS.

    Note: Afin de configurer l'authentification, assurez-vous que la communication sur le port UDP 2083 est autorisée entre l'interface ThreatGrid Clean et le noeud de service de stratégie ISE (PSN).

    Configuration

    Étape 1. Préparez le certificat ThreatGrid pour l'authentification.

    RADIUS sur DTLS utilise l'authentification mutuelle des certificats, ce qui signifie que le certificat d'autorité de certification (CA) d'ISE est nécessaire. Vérifiez d'abord quel certificat RADIUS DTLS CA a signé :

    Étape 2. Exporter le certificat CA à partir d'ISE.

    Accédez à Administration > System > Certificates > Certificate Management > Trusted Certificates, localisez l'autorité de certification, sélectionnez Export comme indiqué dans l'image et enregistrez le certificat sur le disque pour plus tard :

    Étape 3. Ajoutez ThreatGrid en tant que périphérique d'accès au réseau.

    Accédez à Administration > Network Resources > Network Devices > Add pour créer une nouvelle entrée pour TG et entrez le Name, IP address de l'interface Clean et sélectionnez DTLS Required comme indiqué dans l'image. Cliquez sur Enregistrer en bas :

    Étape 4. Créez un profil d'autorisation pour la stratégie d'autorisation.

    Accédez à Stratégie > Éléments de stratégie > Résultats > Autorisation > Profils d'autorisation et cliquez sur Ajouter. Entrez Name et sélectionnez Advanced Attributes Settings comme indiqué dans l'image, puis cliquez sur Save :

    Étape 5. Créez une stratégie d'authentification.

    Naviguez jusqu'à Policy > Policy Sets et cliquez sur "+« . Entrez Nom du jeu de stratégies et définissez la condition sur Adresse IP NAD, attribuée à l'interface propre de TG, cliquez sur Enregistrer comme indiqué dans l'image :

    Étape 6. Créez une stratégie d'autorisation.

    Cliquez sur ">" pour accéder à la stratégie d'autorisation, développez la stratégie d'autorisation, cliquez sur "+" et configurez comme indiqué dans l'image, une fois que vous avez terminé, cliquez sur Enregistrer :

    Conseil : vous pouvez créer une règle d'autorisation pour tous vos utilisateurs qui correspondent aux deux conditions, Admin et UI.

    Étape 7. Créez un certificat d'identité pour ThreatGrid.

    Le certificat client de ThreatGrid doit être basé sur la clé Elliptic Curve :

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Il doit être signé par l'autorité de certification en qui ISE fait confiance. Consultez la page Importer les certificats racines dans le magasin de certificats de confiance pour plus d'informations sur la façon d'ajouter un certificat d'autorité de certification au magasin de certificats de confiance ISE.

    Étape 8. Configurez ThreatGrid pour utiliser RADIUS.

    Connectez-vous au portail admin, accédez à Configuration >RADIUS. Dans RADIUS CA Certificate, collez le contenu du fichier PEM collecté à partir d'ISE, dans Client Certificate, collez le certificat au format PEM reçu de CA et dans Client Key, collez le contenu du fichier private-ec-key.pem à partir de l'étape précédente, comme illustré dans l'image. Cliquez sur Enregistrer :

    Note: Vous devez reconfigurer l'appliance TG après avoir enregistré les paramètres RADIUS.

    Étape 9. Ajoutez le nom d'utilisateur RADIUS aux utilisateurs de la console.

    Pour vous connecter au portail de la console, vous devez ajouter l'attribut Nom d'utilisateur RADIUS à l'utilisateur respectif, comme indiqué dans l'image :

    Étape 10. Activez l'authentification RADIUS uniquement.

    Une fois la connexion au portail d'administration terminée, une nouvelle option apparaît, qui désactive complètement l'authentification du système local et laisse le seul système RADIUS.

    Vérification

    Une fois que TG a été reconfiguré, déconnectez-vous et maintenant les pages de connexion ressemblent respectivement aux images, à l'administrateur et au portail de console :

    Dépannage

    Trois composants peuvent poser des problèmes : ISE, connectivité réseau et ThreatGrid.

    • Dans ISE, assurez-vous qu'il renvoie ServiceType=Administrative aux demandes d'authentification de ThreatGrid. Accédez à Operations>RADIUS>Live Logs sur ISE et vérifiez les détails :


    • Si ces requêtes ne s'affichent pas, effectuez une capture de paquets sur ISE. Accédez à Operations>Troubleshoot>Diagnostic Tools>TCP Dump, fournissez l'adresse IP dans le champ Filter de l'interface propre du TG, cliquez sur Start et essayez de vous connecter à ThreatGrid :

    Vous devez voir augmenter le nombre d'octets. Ouvrez le fichier pcap dans Wireshark pour plus d'informations.

    • Si vous voyez l'erreur « Désolé, mais un problème est survenu » après avoir cliqué sur Enregistrer dans ThreatGrid et que la page ressemble à ceci :

    Cela signifie que vous avez probablement utilisé la clé RSA pour le certificat client. Vous devez utiliser la clé ECC avec les paramètres spécifiés à l'étape 7.

    TAC Authored

    Contribution d’experts de Cisco

    • Radek Olszowy
      ATS TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits