简介
本文档介绍在安全恶意软件分析设备(以前称为Threat Grid)版本2.10中引入的远程身份验证拨入用户服务(RADIUS)身份验证功能。它允许用户使用身份验证、授权和记帐(AAA)服务器中存储的凭证登录到管理员门户和控制台门户,该服务器支持通过DTLS进行RADIUS身份验证(draft-ietf-radext-dtls-04)。在本例中,使用了思科身份服务引擎。
在本文档中,您可以找到配置该功能所需的步骤。
先决条件
要求
Cisco 建议您了解以下主题:
- 安全恶意软件分析设备(以前称为Threat Grid)
- 身份服务引擎 (ISE)
使用的组件
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
本节提供有关如何为RADIUS身份验证功能配置安全恶意软件分析设备和ISE的详细说明。
注意:要配置身份验证,请确保允许安全恶意软件分析设备安全接口和ISE策略服务节点(PSN)之间的端口UDP 2083上的通信。
配置
步骤1:准备安全恶意软件分析设备证书以进行身份验证。
RADIUS over DTLS使用相互证书身份验证,这意味着需要来自ISE的证书颁发机构(CA)证书。首先检查哪个CA签名的RADIUS DTLS证书:
第二步:从ISE导出CA证书。
导航到Administration > System > Certificates > Certificate Management > Trusted Certificates,找到CA,选择Export(如映像所示),然后将证书保存到磁盘以供以后使用:
第三步:添加安全恶意软件分析设备作为网络访问设备。
导航到管理>网络资源>网络设备>添加以为TG创建新条目,并输入Name、IP地址的Clean接口,然后选择DTLS必需,如图所示。点击底部的Save:
第四步:为授权策略创建授权配置文件。
导航到Policy > Policy elements > Results > Authorization > Authorization Profiles,然后单击Add。输入Name并选择Advanced Attributes Settings(如图所示),然后单击Save:
第五步:创建身份验证策略。
导航到Policy > Policy Sets,然后点击+。输入Policy Set Name并将条件设置为NAD IP Address,将其分配给安全恶意软件分析设备的干净接口,然后点击Save,如下图所示:
第六步:创建授权策略。
单击>转到授权策略,展开Authorization Policy,单击+并按照图中所示进行配置,完成后单击Save:
提示:您可以为同时匹配管理员和UI的所有用户创建一个授权规则。
步骤 7.为安全恶意软件分析设备创建身份证书。
安全恶意软件分析设备的客户端证书必须基于椭圆曲线密钥:
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
您必须根据该密钥创建CSR,然后必须由ISE信任的CA进行签名。选中Import the Root Certificates to the Trusted Certificate Store页,以获取有关如何将CA证书添加到ISE受信任证书存储区的详细信息。
步骤 8配置安全恶意软件分析设备以使用RADIUS。
登录到管理员门户,导航到Configuration > RADIUS。在RADIUS CA证书中粘贴从ISE收集的PEM文件的内容,在客户端证书中粘贴从CA收到的PEM格式的证书,以及在客户端密钥中粘贴上一步的private-ec-key.pem文件的内容,如图所示。单击Save:
注意:在保存RADIUS设置后,必须重新配置安全恶意软件分析设备。
步骤 9将RADIUS用户名添加到控制台用户。
要登录到控制台门户,您必须将RADIUS Username属性添加到相应的用户,如图所示:
步骤 10启用仅RADIUS身份验证。
成功登录管理员门户后,系统将显示新选项,该选项将完全禁用本地系统身份验证,并保留唯一基于RADIUS的身份验证。
验证
重新配置Secure Malware Analytics Appliance后,注销,现在登录页面看起来与映像、管理员和控制台门户中的页面类似:
故障排除
有三种组件可能导致问题:ISE、网络连接和安全恶意软件分析设备。
- 在ISE中,确保将ServiceType=Administrative返回到安全恶意软件分析设备的身份验证请求。导航到Operations > RADIUS > Live Logs on ISE并检查详细信息:
- 如果您看不到这些请求,请在ISE上捕获数据包。导航到操作>故障排除>诊断工具> TCP转储,在TG的clean接口的Filter字段中提供IP,点击开始,然后尝试登录到Secure Malware Analytics设备:
您必须看到该字节数增加。在Wireshark中打开pcap文件了解更多信息。
- 如果在您单击Save in Secure Malware Analytics Appliance后看到错误“We're sorry, but something wrong wrong wrong.”,则页面如下所示:
这意味着您很可能将RSA密钥用于客户端证书。必须将ECC密钥与步骤7中指定的参数配合使用。