概要
この資料はデータグラムの転送 層 セキュリティプロトコル(DTLS)上の RADIUS の設定およびトラブルシューティングを記述したものです。 セキュアトンネルに転送される DTLS は RADIUS に暗号化 サービスを提供します。
前提条件
要件
次の項目に関する知識が推奨されます。
- Cisco Identity Services Engine(ISE)
- RADIUS プロトコル
- Cisco IOS
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Cisco Identity Services Engine 2.2
- IOS 16.6.1 の Catalyst 3650
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
設定
設定
1. ISE にネットワークデバイスを追加し、DTLS プロトコルを有効に して下さい。
[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] に移動します。 少なくとも Mandatory フィールドを『Add』 をクリック し、提供して下さい:
- 名前-デバイスの表示名は追加されます。
- IP アドレス- ISE に接触するのにオーセンティケータが使用する IP アドレス。 デバイスの範囲を設定することは可能性のあるです。 それをするために、適切なマスクを規定 して下さい(小さくより 32)。
- デバイス プロファイル-デバイスの全般設定。 それはどんなプロトコルが、許可(CoA)設定および RADIUS特性 設定の詳述された変更処理されるか規定 することを割り当てます。 詳細については、Administration > ネットワークリソース > ネットワークデバイス プロファイルへのナビゲート。
- ネットワーク デバイス グループ-デバイスの種類を、IPSec 機能およびデバイス 位置 設定 して下さい。 この設定は必須ではないです。 値を『Custom』 を選択 しない場合、デフォルト設定は仮定されます。
必要な RADIUS DTLS 設定 SELECT チェックボックス DTLS の下の SELECT チェックボックス RADIUS認証設定および。 これは DTLS セキュアトンネルでだけオーセンティケータの RADIUS 通信を可能にします。 共有秘密テキストボックスが選択不可能になることに注目して下さい。 RADIUS DTLS の場合にはこの値は固定であり、同じストリングはオーセンティケータ側で設定されます。
2. 設定 DTLS ポートおよびアイドルタイムアウト。
Administration > システム > 設定 > プロトコル > RADIUS > RADIUS DTLS で DTLS 通信およびアイドルタイムアウトのために使用されるポートを設定できます。
DTLS ポートが RADIUSポートと異なっていることに注目して下さい。 デフォルトで、RADIUS はペア 1645、1646 および 1812 を、1813 使用します。 デフォルトで認証、許可、会計および CoA のための DTLS はポート 2083 を使用します。 アイドルタイムアウトは ISE およびオーセンティケータがそれを通過する実際の通信なしでトンネルをどの位維持するか規定 します。 このタイムアウトは秒に測定され、60 から 600 秒まで及びます。
3. ISE 信頼ストアから DTLS RADIUS 証明書の発行元をエクスポートして下さい。
ISE とオーセンティケータ間のトンネルを確立するために、エンティティは両方とも証明書を交換し、確認する必要があります。 オーセンティケータは ISE RADIUS DTLS 証明書を信頼しなければなりませんつまり発行元が認証符号の信頼ストアにあるなることを意味します。 ISE 証明書の署名者を、ナビゲート、イメージに示すように Administration > システム > 証明書にエクスポートするため:
割り当てられる RADIUS DTLS 役割の証明書を見つけ、この証明書があるようにフィールドによって発行されて確認して下さい。 これは ISE 信頼ストアからエクスポートされなければならない証明書の Common Name です。 それを、ナビゲート Administration > システム > CertificatesTrusted 証明書にするため。 適切な証明書の隣の SELECT チェックボックスは『Export』 をクリック し。
4. オーセンティケータへの設定信頼ポイントおよび輸入 証明書。
トラストポイント、ログインをスイッチに設定し、コマンドを実行するため:
configure terminal
crypto pki trustpoint isetp
enrollment terminal
revocation-check none
exit
コマンド 暗号 PKI 認証する isetp が付いている輸入 証明書。 証明書を、タイプはい受け入れるためにプロンプト表示された場合。
Switch3650(config)#crypto pki authenticate isetp
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D
Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
5. スイッチの Export certificate。
スイッチの DTLS に使用するべきトラストポイントおよび証明書を選択し、エクスポートして下さい:
Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
設定されるすべての trustpoints をリストするためにコマンドを示します暗号 PKI trustpoints を実行して下さい。 証明書がコンソール接続を行うために印刷されたらそれをファイルにコピーし、PC で保存して下さい。
6. ISE 信頼ストアにスイッチ 証明書をインポートして下さい。
ISE で、Administration > 証明書 > 信頼できる証明書にナビゲート し、『Import』 をクリック して下さい。
この場合スイッチの『Browse』 をクリック し、『Certificate』 を選択 して下さい。 (オプションで)友好的な名前をつければ SELECT チェックボックスは ISE 内の認証のために信頼し、クライアント認証および Syslog のために信頼します。 それからイメージに示すように、『SUBMIT』 をクリック して下さい:
7. スイッチの RADIUS を設定して下さい。
スイッチに RADIUSコンフィギュレーションを追加して下さい。 スイッチを DTLS 上の ISE と通信するために設定するためにコマンドを使用して下さい:
radius server ISE22
address ipv4 10.48.23.86
key radius/dtls
dtls port 2083
dtls trustpoint client TP-self-signed-721943660
dtls trustpoint server isetp
AAA 特定の設定の他は必要条件および設計によって決まります。 この設定を一例として扱って下さい:
aaa group server radius ISE
server name ISE22
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
aaa authentication dot1x default group ISE
aaa authorization network default group ISE
8. ISE のポリシーを設定して下さい。
ISE の認証 および 権限ポリシーを設定して下さい。 このステップは設計および必要条件によって同様に異なります。
確認
ユーザが認証を受けることができることを確認するためスイッチのテスト aaa コマンドを使用するため:
Switch3650#test aaa group ISE alice Krakow123 new-code
User successfully authenticated
USER ATTRIBUTES
username 0 "alice"
Switch3650#
認証に成功されるメッセージユーザの会うはずです。 ISE オペレーション > RADIUS > LiveLog にナビゲート し、適切なログのために『Details』 を選択 して下さい(拡大鏡をクリックして下さい):
レポートの右側、ステップのリストがあります。 リストの第一歩が RADIUSパケット暗号化されるであることを確認して下さい。
さらに、ISE のパケットキャプチャを開始し、テスト aaa コマンドをもう一度実行できます。 キャプチャを、ナビゲートはオペレーションに開始するために > > 診察道具 > 汎用ツール > TCP ダンプする解決します。 認証に使用するポリシー Service Node を選択し、『Start』 をクリック して下さい:
認証が終了するとき、『Stop』 をクリック し、ダウンロードして下さい。 パケットキャプチャを開くとき、DTLS と暗号化されるトラフィックを見られますはずです:
パケット #813 は- #822 DTLS ハンドシェイクの一部です。 ハンドシェイクがうまくネゴシエートされるとき、適用業務 データは転送されます。 パケットの数が異なるかもしれ、使用される認証方式によってたとえば異なることに注目して下さい(PAP、EAP-PEAP、EAP-TLS、等)。 各パケットのコンテンツは暗号化されます:
すべてのデータが送信されるとき、トンネルはすぐに中断 されません。 IdleTimeout は ISE でトンネルがそれを通過する通信なしでどの位確立することができるか判別します設定しました。 タイマーが切れ、新しい Access-Request が ISE に送信 されなければならなければ DTLS ハンドシェイクは実行された、トンネルは再製されます。
トラブルシューティング
1. ISE は要求を受け取りません。
デフォルト DTLS ポートが 2083 年であることに注目して下さい。 デフォルト ラジウス ポートは 1645,1646 および 1812,1813 です。 ファイアウォールが UDP/2083 トラフィックをブロックしないようにして下さい。
2. DTLS ハンドシェイクは失敗します。
ISE の Detailed レポートで DTLS ハンドシェイクが失敗したことがわかるかもしれません:
考えられる理由はスイッチか ISE がないハンドシェイクの間に送信 される 信頼できる証明書ことです。 証明書 設定を確認して下さい。 適切な証明書が ISE の RADIUS DTLS 役割とスイッチの trustpoints に割り当てられることを確認して下さい。