簡介
本檔案介紹在Secure Malware Analytics Appliance(前身為Threat Grid)版本2.10中引入的遠端驗證撥入使用者服務(RADIUS)驗證功能。它允許使用者使用儲存在身份驗證、授權和記帳(AAA)伺服器中的憑據登入到管理員門戶和控制檯門戶,該伺服器支援RADIUS over DTLS身份驗證(draft-ietf-radext-dtls-04)。在本例中,使用了Cisco Identity Services Engine。
在本檔案中,您會找到配置該功能所需的步驟。
必要條件
需求
思科建議您瞭解以下主題:
- 安全惡意軟體分析裝置(前身為Threat Grid)
- 身分識別服務引擎 (ISE)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 安全惡意軟體分析裝置2.10
- 身分識別服務引擎2.7
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
本節提供有關如何為RADIUS身份驗證功能配置安全惡意軟體分析裝置和ISE的詳細說明。
注意:為了配置身份驗證,請確保允許安全惡意軟體分析裝置清潔介面和ISE策略服務節點(PSN)之間的埠UDP 2083上的通訊。
組態
步驟 1.準備安全惡意軟體分析裝置證書以進行身份驗證。
RADIUS over DTLS使用相互憑證驗證,這表示需要來自ISE的憑證授權單位(CA)憑證。首先檢查哪個CA簽名的RADIUS DTLS證書:
步驟 2.從ISE匯出CA證書。
導覽至Administration > System > Certificates > Certificate Management > Trusted Certificates,找到CA,選擇Export(如圖所示),然後將憑證儲存到磁碟上以備後用:
步驟 3.新增安全惡意軟體分析裝置作為網路訪問裝置。
導覽至Administration > Network Resources > Network Devices > Add,為TG建立新條目,並輸入Clean介面的Name、IP address,然後選擇DTLS Required,如下圖所示。按一下底部的Save:
步驟 4.為授權策略建立授權配置檔案。
導航到Policy > Policy elements > Results > Authorization > Authorization Profiles,然後點選Add。輸入Name並選擇Advanced Attributes Settings(如圖所示),然後按一下Save:
步驟 5.建立身份驗證策略。
導航到Policy > Policy Sets,然後點選+。輸入策略集名稱,並將條件設定為NAD IP地址(已分配給安全惡意軟體分析裝置的乾淨介面),然後點選Save,如下圖所示:
步驟 6.建立授權策略。
按一下>轉到授權策略,展開Authorization Policy,按一下+並配置,如下圖所示,完成後按一下Save:
提示:您可以為所有同時符合管理員和UI條件的使用者建立一個授權規則。
步驟 7.為安全惡意軟體分析裝置建立身份證書。
安全惡意軟體分析裝置的客戶端證書必須基於橢圓曲線金鑰:
openssl ecparam -name secp521r1 -genkey -out private-ec-key.pem
您必須根據該金鑰建立CSR,然後必須由ISE信任的CA簽署。選中Import the Root Certificates to the Trusted Certificate Store頁面,獲取有關如何將CA證書新增到ISE受信任證書儲存區的詳細資訊。
步驟 8.配置安全惡意軟體分析裝置以使用RADIUS。
登入管理員入口網站,導覽至Configuration > RADIUS。在RADIUS CA證書中,貼上從ISE收集的PEM檔案的內容;在客戶端證書中,貼上從CA接收的PEM格式的證書;在客戶端金鑰中,貼上上一步的private-ec-key.pem檔案的內容,如圖所示。按一下「Save」:
注意:在儲存RADIUS設定後,必須重新配置安全惡意軟體分析裝置。
步驟 9.向控制檯使用者新增RADIUS使用者名稱。
若要登入主控台入口網站,您必須將RADIUS Username屬性新增到各自的使用者,如下圖所示:
步驟 10.啟用僅RADIUS身份驗證。
成功登入到管理員門戶後,會出現一個新選項,該選項將完全禁用本地系統身份驗證,並保留唯一的基於RADIUS的身份驗證。
驗證
重新配置Secure Malware Analytics Appliance後,註銷登入頁面,現在登入頁面在映像、管理員和控制檯門戶中看起來與此類似:
疑難排解
有三種元件可能會造成問題:ISE、網路連線和安全惡意軟體分析裝置。
- 在ISE中,確保返回ServiceType=Administrative到安全惡意軟體分析裝置的身份驗證請求。導航到Operations > RADIUS > Live Logs on ISE並檢查詳細資訊:
- 如果您沒有看到這些請求,請在ISE上執行資料包捕獲。導覽至Operations > Troubleshoot > Diagnostic Tools > TCP Dump,在TG的clean介面的Filter欄位中提供IP,然後按一下Start,嘗試登入Secure Malware Analytics Appliance:
您必須看到該位元組數增加。在Wireshark中開啟pcap檔案以瞭解詳細資訊。
- 如果您在按一下Save in Secure Malware Analytics Appliance後看到錯誤「We're sorry, but something wrong」,則頁面如下所示:
這表示您很可能對客戶端證書使用了RSA金鑰。必須使用具有步驟7中指定的引數的ECC金鑰。