Configurar a autenticação RADIUS do ThreatGrid sobre DTLS para Console e Portal OPadmin

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (927.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de Abril de 2020
ID do documento:215420

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o recurso de autenticação RADIUS (Remote Authentication Dial In User Service) introduzido na versão 2.10 do ThreatGrid (TG). Permite que os usuários façam login no portal Admin, bem como no portal do Console com credenciais armazenadas no servidor de Autenticação, Autorização e Contabilidade (AAA).

    Neste documento, você encontra as etapas necessárias para configurar o recurso.

    Prerequisites

    Requirements

    • ThreatGrid versão 2.10 ou posterior
    • Servidor AAA que suporta autenticação RADIUS sobre DTLS (draft-ietf-radext-dtls-04)

    Componentes Utilizados

    • ThreatGrid Appliance 2.10
    • Identity Services Engine (ISE) 2.7

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Configurar

    Esta seção fornece instruções detalhadas sobre como configurar o ThreatGrid Appliance e o ISE para o recurso de autenticação RADIUS.

    Note: Para configurar a autenticação, certifique-se de que a comunicação na porta UDP 2083 seja permitida entre a interface do ThreatGrid Clean e o ISE Policy Service Node (PSN).

    Configuração

    Etapa 1. Preparar o certificado do ThreatGrid para autenticação.

    O RADIUS sobre DTLS usa autenticação de certificado mútuo, o que significa que o certificado da autoridade de certificação (CA) do ISE é necessário. Primeiro, verifique qual CA assinou certificado RADIUS DTLS:

    Etapa 2. Exportar o certificado CA do ISE.

    Navegue até Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados Confiáveis, localize a CA, selecione Exportar como mostrado na imagem e salve o certificado no disco para mais tarde:

    Etapa 3. Adicione o ThreatGrid como um dispositivo de acesso à rede.

    Navegue até Administration > Network Resources > Network Devices > Add para criar uma nova entrada para TG e insira o Nome, endereço IP da interface Clean e selecione DTLS Required como mostrado na imagem. Clique em Salvar na parte inferior:

    Etapa 4. Crie um perfil de autorização para a política de autorização.

    Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização e clique em Adicionar. Digite Name e selecione Advanced Attributes Settings conforme mostrado na imagem e clique em Save:

    Etapa 5. Crie uma política de autenticação.

    Navegue até Política > Conjuntos de políticas e clique em "+". Insira o Nome do conjunto de políticas e defina a condição como Endereço IP NAD, atribuído à interface limpa do TG, clique em Salvar como mostrado na imagem:

    Etapa 6. Criar uma política de autorização.

    Clique em ">" para ir para a política de autorização, expandir a Política de autorização, clicar em "+" e configurar conforme mostrado na imagem, depois de clicar em Salvar:

    Dica: você pode criar uma regra de autorização para todos os seus usuários que atendam às duas condições: Admin e IU.

    Passo 7. Crie um certificado de identidade para o ThreatGrid.

    O certificado de cliente do ThreatGrid deve ser baseado na chave de curva elíptica:

    openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem

    Tem de ser assinado pela CA em que a ISE confia. Marque Importar certificados raiz para a página Arquivo de certificados confiável para obter mais informações sobre como adicionar certificado CA ao Repositório de certificados confiáveis do ISE.

    Etapa 8. Configure o ThreatGrid para usar o RADIUS.

    Faça login no portal admin, navegue até Configuration> RADIUS. No certificado CA RADIUS, cole o conteúdo do arquivo PEM coletado do ISE, no certificado do cliente, cole o certificado PEM formatado recebido da CA e no arquivo Chave do cliente cole o conteúdo do arquivo private-ec-key.pem da etapa anterior, como mostrado na imagem. Clique em Salvar:

    Note: Você deve reconfigurar o dispositivo TG depois de salvar as configurações de RADIUS.

    Etapa 9. Adicione o nome de usuário RADIUS aos usuários do console.

    Para fazer login no portal do console, você deve adicionar o atributo Nome de usuário RADIUS ao respectivo usuário, como mostrado na imagem:

    Etapa 10. Habilitar somente autenticação RADIUS.

    Após o login bem-sucedido no portal do administrador, uma nova opção é exibida, o que desabilita completamente a autenticação do sistema local e deixa a única baseada em RADIUS.

    Verificar

    Depois que o TG tiver sido reconfigurado, faça logoff e agora as páginas de logon se parecerão com as imagens, com o admin e com o portal do console, respectivamente:

    Troubleshoot

    Há três componentes que podem causar problemas: ISE, conectividade de rede e ThreatGrid.

    • No ISE, verifique se ele retorna ServiceType=Administrative para as solicitações de autenticação do ThreatGrid. Navegue para Operações> RADIUS > Logs ao vivo no ISE e verifique os detalhes:


    • Se você não vir essas solicitações, faça uma captura de pacotes no ISE. Navegue até Operations >Troubleshoot >Diagnostic Tools>TCP Dump, forneça o IP no campo Filter da interface limpa do TG, clique em Start e tente fazer login no ThreatGrid:

    Você deve ver esse número de bytes aumentado. Abra o arquivo pcap no Wireshark para obter mais informações.

    • Se você vir o erro "Lamentamos, mas algo deu errado" depois de clicar em Salvar no ThreatGrid e a página parecer com este:

    Isso significa que você provavelmente usou a chave RSA para o certificado do cliente. Você deve usar a chave ECC com os parâmetros especificados na etapa 7.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Radek Olszowy
      ATS TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos