تكوين التكامل الثنائي مع Active Directory و ISE للمصادقة ثنائية العوامل على عملاء AnyConnect/Remote Access VPN

بدأت المصادقة الأساسية في Cisco ISE
يرسل ASA من Cisco طلب المصادقة إلى وكيل المصادقة الثنائي
تستخدم المصادقة الأساسية Active Directory أو RADIUS
اتصال وكيل المصادقة الثنائي الذي تم إنشاؤه للأمان الثنائي عبر منفذ TCP 443
المصادقة الثانوية عبر خدمة الأمان الثنائي
يستلم وكيل مصادقة Duo إستجابة المصادقة
تم منح وصول Cisco ISE

حسابات المستخدمين:

مسؤول Active Directory: يستخدم هذا الحساب كحساب دليل للسماح لوكيل مصادقة Duo بالربط بخادم Active Directory للمصادقة الأساسية.
مستخدم إختبار Active Directory
مستخدم إختبار ثنائي للمصادقة الثانوية

تكوينات Active Directory

تم تكوين خادم Windows مسبقا مع خدمات مجال Active Directory.

ملاحظة:إذا تم تشغيل "إدارة وكيل مصادقة RADIUS Duo" على نفس الجهاز المضيف ل Active Directory، فيجب إزالة تثبيت/حذف أدوار خادم نهج الشبكة (NPS)، إذا تم تشغيل كل من خدمات RADIUS، فيمكنها التعارض والتأثير على الأداء.

لتحقيق تكوين AD للمصادقة وهوية المستخدم على مستخدمي Remote Access VPN، يلزم توفر عدد قليل من القيم.

يجب إنشاء جميع هذه التفاصيل أو تجميعها على خادم Microsoft قبل إمكانية إجراء التكوين على خادم وكيل مصادقة ASA و Duo.

القيم الرئيسية هي:

اسم المجال. هذا هو اسم مجال الخادم. في دليل التكوين هذا، يكون agarciam.cisco هو اسم المجال.

عنوان IP/FQDN للخادم. عنوان IP أو FQDN المستخدم للوصول إلى خادم Microsoft. إذا تم إستخدام FQDN، يجب تكوين خادم DNS داخل وكيل ASA والمصادقة الثنائية لحل FQDN.

في دليل التكوين هذا، تكون هذه القيمة agarciam.cisco (الذي يتم الحل إلى 10.28.17.107).

منفذ الخادم. الميناء يستعمل ب ال LDAP خدمة. بشكل افتراضي، يستخدم LDAP و STARTTLS منفذ TCP 389 ل LDAP، و LDAP عبر SSL (LDAPs) منفذ TCP 636.

المرجع المصدق الجذر. في حالة إستخدام LDAP أو STARTTLS، يكون المرجع المصدق الجذر المستخدم لتوقيع شهادة SSL المستخدمة بواسطة LDAPs مطلوبا.

اسم مستخدم الدليل وكلمة المرور. هذا هو الحساب المستخدم من قبل خادم وكيل المصادقة الثنائي للربط بخادم LDAP ومصادقة المستخدمين والبحث عن المستخدمين والمجموعات.

الاسم المميز للقاعدة والمجموعة (DN). DN الأساسي هو نقطة الانطلاق لوكيل مصادقة Duo وهو يقول ل Active Directory أن يبدأ البحث عن المستخدمين ومصادقتهم.

في دليل التكوين هذا، يتم إستخدام المجال الجذر agarciam.cisco كشبكة DN الأساسية وشبكة DN الخاصة بالمجموعة هي Duo-users.

1. لإضافة مستخدم ثنائي جديد، على Windows Server، انتقل إلى أيقونة Windows في أسفل اليسار وانقر فوق أدوات Windows الإدارية، كما هو موضح في الصورة.

Windows Aministrative

2. على Windows Administrative Tools، انتقل الإطار إلى Active Directory Users and Computers.

في لوحة Active Directory Users and Computers، قم بتوسيع خيار المجال وانتقل إلى مجلد Users.

في مثال التكوين هذا، يتم إستخدام Duo-Users كمجموعة هدف للمصادقة الثانوية.

Active Directory

3. انقر بزر الماوس الأيمن فوق المجلد Users وحدد New>User (المستخدم)، كما هو موضح في الصورة.

User creation

4. في نافذة Objet-user الجديدة، حدد سمات الهوية لهذا المستخدم الجديد وانقر فوق التالي، كما هو موضح في الصورة.

User setup

5. قم بتأكيد كلمة المرور وانقر فوق التالي، ثم إنهاء بمجرد نسخ معلومات المستخدم.

User setup2

6. قم بتعيين المستخدم الجديد إلى مجموعة معينة، انقر بزر الماوس الأيمن فوقها وحدد إضافة إلى مجموعة، كما هو موضح في الصورة.

Add to group

7. في لوحة تحديد المجموعات، اكتب اسم المجموعة المطلوبة وانقر التحقق من الأسماء.

ثم حدد الاسم الذي يطابق معاييرك وانقر موافق.

Check names

8. هذا هو المستخدم الذي يتم إستخدامه على هذا المستند كمثال.

التكوينات الثنائية

1. سجل الدخول إلى مدخل مسؤول Dudo.

Duo login page

2.في اللوحة الجانبية اليسرى، انتقل إلى Users، انقر فوق إضافة مستخدم واكتب اسم المستخدم الذي يطابق اسم المستخدم في Active Domain، ثم انقر فوق إضافة مستخدم.

Duo Users

3. في لوحة المستخدم الجديد، قم بملء الفراغ بجميع المعلومات اللازمة.

Duo Users2

4. تحت أجهزة المستخدم، حدد أسلوب المصادقة الثانوية.

ملاحظة: في هذا المستند، يتم إستخدام الضغط المزدوج للحصول على طريقة الأجهزة المحمولة، لذلك يلزم إضافة جهاز هاتف.

طقطقة يضيف هاتف.

Add phone

5. اكتب رقم هاتف المستخدم وانقر فوق إضافة هاتف.

Add phone2

6. في لوحة إدارة Duo اليسرى، انتقل إلى Users وانقر فوق المستخدم الجديد.

duouser

ملاحظة: في حالة عدم إمكانية الوصول إلى هاتفك في هذه اللحظة، يمكنك تحديد خيار البريد الإلكتروني.

7.انتقل إلى قسم الهواتف وانقر فوق تنشيط Duo Mobile.

phones

8. انقر فوق إنشاء رمز تنشيط Duo أثناء التنقل.

Activate Duo

9. حدد البريد الإلكتروني لتلقي التعليمات عبر البريد الإلكتروني، اكتب عنوان بريدك الإلكتروني وانقر فوق إرسال التعليمات عبر البريد الإلكتروني.

Email instructions

10. تتلقى بريدا إلكترونيا يتضمن التعليمات، كما هو موضح في الصورة.

Email Duo

11. افتح تطبيق Duo Mobile من جهازك المحمول وانقر فوق إضافة ثم حدد إستخدام رمز QR وافحص الرمز من البريد الإلكتروني الخاص بالإرشادات.

12. تتم إضافة مستخدم جديد إلى تطبيق Duo Mobile.

تكوين وكيل المصادقة الثنائي

1.تنزيل مدير وكيل المصادقة الثنائي وتثبيته من https://duo.com/docs/authproxy-reference.

ملاحظة:في هذا المستند، يتم تثبيت "إدارة وكيل المصادقة الثنائية" على نفس خادم Windows الذي يستضيف خدمات Active Directory.

2.في لوحة إدارة Duo، انتقل إلى التطبيقات وانقر فوق حماية تطبيق.

Proxy config

3. على شريط البحث، ابحث عن Cisco ISE RADIUS.

Protect application

4. انسخ مفتاح التكامل والمفتاح السري واسم مضيف واجهة برمجة التطبيقات. تحتاج إلى هذه المعلومات لتكوين وكيل مصادقة Duo.

Cisco ISE

5. قم بتشغيل تطبيق Duo Authentication Proxy Manager وأكمل التكوين لكل من عميل Active Directory وخادم ISE Radius وانقر فوق Validate.

ملاحظة: إذا لم يكن التحقق من الصحة ناجحا، ارجع إلى علامة التبويب تصحيح الأخطاء للحصول على التفاصيل وصحح وفقا لذلك.

Validation

تكوينات Cisco ISE

1. سجل الدخول إلى بوابة مسؤول ISE.

2.قم بتوسيع علامة التبويب Cisco ISE وانتقل إلى الإدارة ثم انقر فوق موارد الشبكة وانقر فوق خوادم RADIUS الخارجية.

Cisco ISE

3. في علامة التبويب خوادم RADIUS الخارجية، انقر فوق إضافة.

Radius servers

4. املأ الفراغ بتكوين RADIUS المستخدم في Duo Authentication Proxy Manager (مدير وكيل المصادقة) وانقر فوق إرسال.

Validation

5. انتقل إلى علامة التبويب تسلسلات خادم RADIUS وانقر فوق إضافة.

Radius servers sequence

6. حدد اسم التسلسل وقم بتعيين خادم RADIUS الخارجي الجديد، انقر فوق إرسال.

Radius servers sequence2

7. انتقل من قائمة لوحة المعلومات إلى النهج وانقر فوق مجموعات النهج.

Policy Sets

8. قم بتعيين تسلسل RADIUS للنهج الافتراضي.

ملاحظة:في هذا المستند، يتم تطبيق تسلسل الثنائي على كافة الاتصالات، لذلك يتم إستخدام النهج الافتراضي. يمكن أن يختلف تعيين النهج حسب المتطلبات.

Default Policy Sets

تكوين ASA RADIUS/ISE من Cisco

1. قم بتكوين خادم ISE RADIUS ضمن مجموعات خوادم AAA، وتصفح إلى التكوين ثم انقر فوق إدارة الأجهزة وتوسع قسم المستخدمين/AAA، وحدد مجموعات خوادم AAA.

Configuration

2. في لوحة مجموعات خوادم AAA، انقر فوق إضافة.

AAA Server Groups

3. حدد اسم مجموعة الخوادم وحدد RADIUS كبروتوكول لاستخدامه ثم انقر فوق موافق.

AAA Server Groups config

5. حدد مجموعة الخوادم الجديدة وانقر فوق إضافة أسفل الخوادم في لوحة المجموعة المحددة، كما هو موضح في الصورة.

AAA Server Groups ISE

6. على نافذة تحرير خادم AAA، حدد اسم الواجهة، وحدد عنوان IP الخاص بخادم ISE واكتب المفتاح السري RADIUS وانقر على موافق.

ملاحظة: يجب أن تتطابق جميع هذه المعلومات مع المعلومات المحددة في Duo Authentication Proxy Manager.

Edit AAA Server

CLI تشكيل.

aaa-server ISE protocol radius
 dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
 key *****

تكوين VPN للوصول عن بعد ASA من Cisco


ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0

group-policy DUO internal
group-policy DUO attributes
 banner value This connection is for DUO authorized users only!
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-agarciam
 address-pools value agarciam-pool

tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
 address-pool agarciam-pool
 authentication-server-group ISE
 default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
 group-alias ISE enable
 dns-group DNS-CISCO

إختبار

1. افتح تطبيق AnyConnect على جهاز الكمبيوتر الشخصي. حدد اسم المضيف الخاص بنقطة الاستقبال والبث الخاصة ب VPN ASA وقم بتسجيل الدخول باستخدام المستخدم الذي تم إنشاؤه للمصادقة الثانوية Duo وانقر على موافق.

VPN