為控制檯和管理員門戶配置安全惡意軟體分析裝置RADIUS over DTLS身份驗證

簡介

本檔案介紹Secure Malware Analytics Appliance（前身為Threat Grid）版本2.10中引入的遠端驗證撥入使用者服務(RADIUS)驗證功能。此功能允許使用者使用儲存在驗證、授權和計量(AAA)伺服器中(支援RADIUS over DTLS驗證(draft-ietf-radext-dtls-04))的憑證，登入管理員入口和主控台入口網站。 在本例中，使用了Cisco Identity Services Engine。

在本檔案中，您會找到配置該功能所需的步驟。

必要條件

需求

思科建議您瞭解以下主題：

• 安全惡意軟體分析裝置（前身為Threat Grid）
• 身分識別服務引擎 (ISE)

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 安全惡意軟體分析裝置2.10
• 身分識別服務引擎2.7

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

本節提供有關如何為RADIUS身份驗證功能配置安全惡意軟體分析裝置和ISE的詳細說明。

附註：為了配置身份驗證，請確保允許安全惡意軟體分析裝置清潔介面和ISE策略服務節點(PSN)之間的埠UDP 2083上的通訊。

組態

步驟1.準備安全惡意軟體分析裝置證書以進行身份驗證。

RADIUS over DTLS使用相互憑證驗證，這表示需要來自ISE的憑證授權單位(CA)憑證。首先檢查哪個CA簽名的RADIUS DTLS證書：

步驟2.從ISE匯出CA證書。

導覽至Administration > System > Certificates > Certificate Management > Trusted Certificates，找到CA，選擇Export（如圖所示），然後將憑證儲存到磁碟上以備後用：

步驟3.將Secure Malware Analytics Appliance新增為網路接入裝置。

導覽至Administration > Network Resources > Network Devices > Add，為TG建立新條目，並輸入Clean介面的Name、IP address，然後選擇DTLS Required，如下圖所示。按一下底部的Save:

步驟4.為授權策略建立授權配置檔案。

導航到Policy > Policy elements > Results > Authorization > Authorization Profiles，然後點選Add。輸入Name並選擇Advanced Attributes Settings（如圖所示），然後按一下Save:

步驟5.建立身份驗證策略。

導覽至Policy > Policy Sets，然後按一下+。輸入策略集名稱，並將條件設定為NAD IP地址（已分配給安全惡意軟體分析裝置的乾淨介面），然後點選Save，如下圖所示：

步驟6.建立授權策略。

按一下>轉到授權策略，展開Authorization Policy，按一下+並配置，如下圖所示，完成後按一下Save:

提示：您可以為所有同時符合管理員和UI條件的使用者建立一個授權規則。

步驟7.為安全惡意軟體分析裝置建立身份證書。

安全惡意軟體分析裝置的客戶端證書必須基於橢圓曲線金鑰：

openssl ecparam -name secp256r1 -genkey -out private-ec-key.pem

您必須根據該金鑰建立CSR，然後必須由ISE信任的CA簽署。選中Import the Root Certificates to the Trusted Certificate Store頁面，獲取有關如何將CA證書新增到ISE受信任證書儲存區的詳細資訊。

步驟8.將安全惡意軟體分析裝置配置為使用RADIUS。

登入管理員入口網站，導覽至Configuration > RADIUS。在RADIUS CA證書中，貼上從ISE收集的PEM檔案的內容；在客戶端證書中，貼上從CA接收的PEM格式的證書；在客戶端金鑰中，貼上上一步的private-ec-key.pem檔案的內容，如圖所示。按一下「Save」：

附註：儲存RADIUS設定後，必須重新配置安全惡意軟體分析裝置。

步驟9.將RADIUS使用者名稱新增到控制檯使用者。

若要登入主控台入口網站，您必須將RADIUS Username屬性新增到各自的使用者，如下圖所示：

步驟10.啟用僅RADIUS身份驗證。

成功登入到管理員門戶後，會出現一個新選項，該選項將完全禁用本地系統身份驗證，並保留唯一的基於RADIUS的身份驗證。

驗證

重新配置Secure Malware Analytics Appliance後，註銷登入頁面，現在登入頁面在映像、管理員和控制檯門戶中看起來與此類似：

疑難排解

以下三個元件可能會導致問題：ISE、網路連線和安全惡意軟體分析裝置。

• 在ISE中，確保返回ServiceType=Administrative到安全惡意軟體分析裝置的身份驗證請求。導航到Operations > RADIUS > Live Logs on ISE並檢查詳細資訊：

• 如果您沒有看到這些請求，請在ISE上執行資料包捕獲。導覽至Operations > Troubleshoot > Diagnostic Tools > TCP Dump，在TG的clean介面的Filter欄位中提供IP，然後按一下Start，嘗試登入Secure Malware Analytics Appliance:

您必須看到該位元組數增加。在Wireshark中開啟pcap檔案以瞭解詳細資訊。

• 如果您在按一下Save in Secure Malware Analytics Appliance後看到錯誤「We're sorry， but something wrong」，則頁面如下所示：

這表示您很可能對客戶端證書使用了RSA金鑰。必須使用具有步驟7中指定的引數的ECC金鑰。