RADIUS-DTLS op Identity Services Engine configureren

Downloadopties

  • PDF     (2.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 februari 2017
Document-id:200972

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft configuratie en probleemoplossing van RADIUS via Datagram Transport Layer Security Protocol (DTLS). DTLS biedt coderingsservices voor RADIUS, dat via een beveiligde tunnel wordt getransporteerd.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Cisco Identity Services Engine (ISE)
  • RADIUS-protocol
  • Cisco IOS

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Identity Services Engine 2.2
  • Catalyst 3650 met IOS 16.6.1

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

Configuraties

1. Voeg netwerkapparaat toe aan ISE en schakel het DTLS-protocol in.

Ga naar Beheer > Netwerkbronnen > Netwerkapparaten. Klik op Add en geef minimaal verplichte velden op:

  • Naam - Een vriendelijke naam van het apparaat is toegevoegd.

  • IP-adres - IP-adres, waarmee de verificator contact opneemt met ISE. Het is mogelijk om een bereik van apparaten te configureren. Om dat te doen, specificeer een correct masker (kleiner dan 32).

  • Apparaatprofiel - Algemene instellingen voor het apparaat. Hiermee kunt u specificeren welke protocollen worden verwerkt, gedetailleerde instellingen voor wijziging van autorisatie (CoA) en configuratie van RADIUS-kenmerken. Navigeer voor meer informatie naar Beheer > Netwerkbronnen > Netwerkapparaatprofielen.

  • Network Device Group - Stel het apparaattype in, IPSec de functies en de apparaatlocatie. Deze instelling is niet verplicht. Als u geen aangepaste waarden selecteert, wordt uitgegaan van de standaardinstellingen.

Selecteer het selectievakje RADIUS-verificatie-instellingen en selecteer onder RADIUS DTLS-instellingen het selectievakje DTLS Vereist. Dit maakt RADIUS-communicatie met authenticator alleen mogelijk via een beveiligde DTLS-tunnel. Merk op dat Shared Secret textbox grijs is. Deze waarde in het geval van RADIUS DTLS is vast en dezelfde string wordt geconfigureerd aan de kant van de verificator.

200972-Configure-RADIUS-DTLS-on-Identity-Servic-00.png

200972-Configure-RADIUS-DTLS-on-Identity-Servic-01.png

2. Configureer de DTLS-poort en de tijdelijke versie van het kinderslot.

U kunt de poort configureren die wordt gebruikt voor DTLS-communicatie en time-out bij Beheer > Systeem > Instellingen > Protocollen > RADIUS > RADIUS DTLS.

200972-Configure-RADIUS-DTLS-on-Identity-Servic-02.png

Merk op dat de DTLS-poort verschilt van RADIUS-poorten. Standaard gebruikt een RADIUS paren 1645, 1646 en 1812, 1813. Standaard gebruikt DTLS voor verificatie, autorisatie, accounting en CoA poort 2083. Inactiviteitstimer bepaalt hoe lang ISE en authenticator tunnels onderhouden zonder dat er communicatie doorheen gaat. Deze timeout wordt gemeten in seconden en varieert van 60 tot 600 seconden.

3. Exporteren van een DTLS RADIUS-certificaat vanuit een ISE-truststore.

Om de tunnel tussen ISE en authenticator tot stand te brengen, moeten beide entiteiten certificaten uitwisselen en verifiëren. Authenticator moet op het DTLS-certificaat van ISE RADIUS vertrouwen, wat betekent dat de uitgever aanwezig moet zijn in de Trust Store van de authenticator. Als u de ondertekenaar van het ISE-certificaat wilt exporteren, navigeert u naar Beheer > Systeem > Certificaten, zoals in de afbeelding wordt getoond:

200972-Configure-RADIUS-DTLS-on-Identity-Servic-03.png

Bepaal de plaats van certificaat met de toegewezen rol van RADIUS DTLS en controleer Uitgegeven door gebied voor dit certificaat. Dit is de algemene naam van het certificaat dat moet worden geëxporteerd uit ISE Trust Store. Ga daarom naar Beheer > Systeem > CertificatenTrusted Certificates. Selecteer het aanvinkvakje naast het juiste certificaat en klik op Exporteren.

4. Configureer het vertrouwenspunt en importeer het certificaat naar de verificator.

Meld u aan bij de switch en voer opdrachten uit om trustpoint te configureren:

configure terminal
crypto pki trustpoint isetp
enrollment terminal
revocation-check none
exit

Importeer certificaat met de opdracht crypto pki om isetp te verifiëren. Typ ja wanneer u wordt gevraagd het certificaat te aanvaarden.

Switch3650(config)#crypto pki authenticate isetp

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificate has the following attributes:
       Fingerprint MD5: B33EAD49 87F18924 590616B9 C8880D9D 
      Fingerprint SHA1: FD729A3B B533726F F8450358 A2F7EB27 EC8A1178 

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

5. Exportcertificaat van de switch.

Selecteer trustpoint en het certificaat dat gebruikt moet worden voor DTLS op de switch en exporteer deze:

Switch3650(config)#crypto pki export TP-self-signed-721943660 pem terminal 
% Self-signed CA certificate:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Om een lijst van alle gevormde trustpoints, voer bevel uit tonen crypto pki trustpoints. Nadat het certificaat is afgedrukt naar de console, kopieert u het naar een bestand en slaat u het op de pc op.

6. Voer een switch-certificaat in bij ISE Trust Store.

Ga op ISE naar Beheer > Certificaten > Betrouwbare certificaten en klik op Importeren.

Klik nu op Bladeren en selecteer certificaat van de switch. Verstrek (facultatief) Vriendelijke Naam en selecteer checkboxes Vertrouwen voor authentificatie binnen ISE en Vertrouwen voor cliëntauthentificatie en Syslog. Klik vervolgens op Indienen, zoals in de afbeelding:

200972-Configure-RADIUS-DTLS-on-Identity-Servic-04.png

7. Configureer RADIUS op de switch.

Voeg de RADIUS-configuratie toe aan de switch. Gebruik opdrachten om de switch te configureren voor communicatie met ISE via DTLS:

radius server ISE22
 address ipv4 10.48.23.86
 key radius/dtls
 dtls port 2083
 dtls trustpoint client TP-self-signed-721943660
 dtls trustpoint server isetp

De rest van de AAA-specifieke configuratie is afhankelijk van uw vereisten en ontwerp. Behandel deze configuratie als een voorbeeld:

aaa group server radius ISE
 server name ISE22

radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include

aaa authentication dot1x default group ISE
aaa authorization network default group ISE

8. Beleid inzake ISE configureren.

Configuratie van verificatie- en autorisatiebeleid op ISE. Deze stap hangt ook af van uw ontwerp en vereisten.

Verifiëren

Gebruik de opdracht Test Aa op de switch om te controleren of gebruikers kunnen verifiëren:

Switch3650#test aaa group ISE alice Krakow123 new-code 
User successfully authenticated

USER ATTRIBUTES

username             0   "alice"
Switch3650#

De melding Gebruiker is geverifieerd. Navigeer naar ISE Operations > RADIUS > LiveLog en selecteer details voor het juiste log (klik op vergrootglas):

200972-Configure-RADIUS-DTLS-on-Identity-Servic-05.png

200972-Configure-RADIUS-DTLS-on-Identity-Servic-06.png

Rechts in het verslag staat een lijst met stappen. Controleer of de eerste stap in de lijst RADIUS-pakket is versleuteld.

Daarnaast kunt u pakketopname op ISE starten en nog een keer test aaa commando uitvoeren. Om de opname te starten, navigeer je naar Operations > Probleemoplossing > Diagnostische tools > Algemene tools > TCP Dump. Selecteer het Policy Service-knooppunt voor de verificatie en klik op Start:

200972-Configure-RADIUS-DTLS-on-Identity-Servic-07.png

Klik op Stop en download als de verificatie is voltooid. Wanneer u pakketopname opent, zou u verkeer moeten kunnen zien dat met DTLS wordt versleuteld:

200972-Configure-RADIUS-DTLS-on-Identity-Servic-08.png

Packets #813 - #822 maken deel uit van DTLS-handdruk. Wanneer de handdruk met succes wordt besproken, worden de Toepassingsgegevens overgebracht. Merk op dat het aantal pakketten kan variëren en bijvoorbeeld afhankelijk is van de gebruikte verificatiemethode (PAP, EAP-PEAP, EAP-TLS, enz.). De inhoud van elk pakket wordt versleuteld:

200972-Configure-RADIUS-DTLS-on-Identity-Servic-09.png

Wanneer alle gegevens worden verzonden, wordt de tunnel niet onmiddellijk afgebroken. IdleTimeout geconfigureerd op ISE bepaalt hoe lang een tunnel gemaakt kan worden zonder dat er communicatie door hem heen gaat. Als de timer verloopt en er een nieuw toegangsverzoek naar ISE moet worden verzonden, wordt een DTLS-handdruk uitgevoerd en wordt de tunnel opnieuw gebouwd. 

Problemen oplossen

1. ISE ontvangt geen verzoeken.

Let op dat de standaard DTLS poort 2083 is. De standaard RADIUS-poorten zijn 1645,1646 en 1812,1813. Zorg ervoor dat de firewall het UDP/2083-verkeer niet blokkeert.

2. De DTLS-handdruk is mislukt.

In het gedetailleerde rapport over ISE kunt u zien dat de DTLS-handdruk is mislukt:

200972-Configure-RADIUS-DTLS-on-Identity-Servic-10.png

De mogelijke reden is dat switch of ISE geen vertrouwen heeft in het certificaat dat tijdens de handdruk wordt verzonden. Controleer de certificaatconfiguratie. Controleer of het juiste certificaat is toegewezen aan de RADIUS DTLS-rol op ISE en aan de trustpoints op de switch.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Feb-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Piotr Borowiec
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten