Configurazione di ThreatGrid RADIUS su autenticazione DTLS per console e portale OPadmin
Sommario
Introduzione
In questo documento viene descritta la funzionalità di autenticazione RADIUS (Remote Authentication Dial In User Service) introdotta nella versione 2.10 di ThreatGrid (TG). Consente agli utenti di accedere al portale di amministrazione e al portale della console con le credenziali archiviate nel server di autenticazione, autorizzazione e accounting (AAA).
In questo documento vengono illustrati i passaggi necessari per configurare la funzionalità.
Prerequisiti
Requisiti
- ThreatGrid versione 2.10 o superiore
- Server AAA che supporta l'autenticazione RADIUS su DTLS (draft-ietf-radext-dtls-04)
Componenti usati
- Appliance ThreatGrid 2.10
- Identity Services Engine (ISE) 2.7
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
In questa sezione vengono fornite istruzioni dettagliate su come configurare l'appliance ThreatGrid e ISE per la funzionalità di autenticazione RADIUS.
Configurazione
Passaggio 1. Preparare il certificato ThreatGrid per l'autenticazione.
RADIUS over DTLS utilizza l'autenticazione reciproca dei certificati, il che significa che è necessario il certificato CA (Certification Authority) ISE. Verificare innanzitutto quale certificato DTLS RADIUS firmato dalla CA:
Passaggio 2. Esportare il certificato CA da ISE.
Passare a Amministrazione > Sistema > Certificati > Gestione certificati > Certificati attendibili, individuare la CA, selezionare Esporta come mostrato nell'immagine e salvare il certificato sul disco per utilizzarlo in seguito:
Passaggio 3. Aggiungere ThreatGrid come dispositivo di accesso alla rete.
Selezionare Amministrazione > Risorse di rete > Dispositivi di rete > Aggiungi per creare una nuova voce per TG e immettere Nome, indirizzo IP dell'interfaccia Pulisci e selezionare DTLS Required come mostrato nell'immagine. Fare clic su Save (Salva) in basso:
Passaggio 4. Creare un profilo di autorizzazione per i criteri di autorizzazione.
Passare a Criterio > Elementi criteri > Risultati > Autorizzazione > Profili di autorizzazione e fare clic su Aggiungi. Immettere Name, selezionare Advanced Attributes Settings come mostrato nell'immagine e fare clic su Save:
Passaggio 5. Creare un criterio di autenticazione.
Selezionare Policy > Policy Sets e fare clic su "+". Immettere Policy Set Name e impostare la condizione su NAD IP Address, assegnato all'interfaccia pulita di TG, fare clic su Save come mostrato nell'immagine:
Passaggio 6. Creare un criterio di autorizzazione.
Fare clic su ">" per accedere al criterio di autorizzazione, espandere il criterio di autorizzazione, fare clic su "+" e configurare come mostrato nell'immagine, dopo aver terminato di fare clic su Salva:
Passaggio 7. Creare un certificato di identità per ThreatGrid.
Il certificato client di ThreatGrid deve essere basato sulla chiave a curva ellittica:
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
Deve essere firmata dall'autorità di certificazione (CA) di cui ISE si fida. Per ulteriori informazioni su come aggiungere il certificato CA all'archivio certificati attendibile ISE, vedere Importazione dei certificati radice nella pagina Archivio certificati attendibili.
Passaggio 8. Configurare ThreatGrid per l'utilizzo di RADIUS.
Accedere al portale di amministrazione e selezionare Configuration>RADIUS. In Certificato CA RADIUS incollare il contenuto del file PEM raccolto da ISE, in Certificato client incollare il certificato formattato PEM ricevuto da CA e in Chiave client incollare il contenuto del file private-ec-key.pem del passaggio precedente, come mostrato nell'immagine. Fare clic su Salva:
Passaggio 9. Aggiungere il nome utente RADIUS agli utenti della console.
Per accedere al portale della console, è necessario aggiungere l'attributo Username RADIUS all'utente corrispondente, come mostrato nell'immagine:
Passaggio 10. Abilitare l'autenticazione solo RADIUS.
Dopo aver eseguito correttamente l'accesso al portale di amministrazione, viene visualizzata una nuova opzione che disabilita completamente l'autenticazione del sistema locale e lascia l'unica basata su RADIUS.
Verifica
Dopo la riconfigurazione di TG, disconnettersi e le pagine di accesso saranno visualizzate rispettivamente nelle immagini, nel portale di amministrazione e nel portale della console:
Risoluzione dei problemi
I problemi possono essere causati da tre componenti: ISE, connettività di rete e ThreatGrid.
- In ISE verificare che restituisca ServiceType=Administrative alle richieste di autenticazione di ThreatGrid. Passare a Operations>RADIUS>Live Logs on ISE e controllare i dettagli:
- Se queste richieste non vengono visualizzate, eseguire un'acquisizione pacchetto su ISE. Selezionare Operations (Operazioni)>Troubleshoot>Diagnostic Tools (Strumenti di diagnostica) TCP Dump, fornire l'indirizzo IP nel campo Filter (Filtro IP in) dell'interfaccia clean (Pulita) del TG, fare clic su Start e provare ad accedere a ThreatGrid:
È necessario verificare che il numero di byte sia aumentato. Per ulteriori informazioni, aprite il file pcap in Wireshark.
- Se viene visualizzato l'errore "Si è verificato un errore" dopo aver fatto clic su Salva in ThreatGrid e la pagina avrà il seguente aspetto:
Ciò significa che molto probabilmente è stata utilizzata la chiave RSA per il certificato client. È necessario utilizzare la chiave ECC con i parametri specificati nel passaggio 7.
Feedback