In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Konfiguration und Best Practices für die Implementierung von Cisco Duo Multi-Factor Authentication (MFA) mit UCS Manager.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Cisco UCS Manager verwendet eine Zwei-Faktor-Authentifizierung für Remote-Benutzeranmeldungen. Für die Anmeldung bei der Zwei-Faktor-Authentifizierung sind ein Benutzername, ein Token und eine Kennwortkombination im Kennwortfeld erforderlich.
Die Zwei-Faktor-Authentifizierung wird unterstützt, wenn Sie die Anbietergruppen Remote Authentication Dial-In User Service (RADIUS) oder Terminal Access Controller Access Control System +(TACACS+) mit festgelegten Authentifizierungsdomänen mit Zwei-Faktor-Authentifizierung für diese Domänen verwenden. Die Zwei-Faktor-Authentifizierung unterstützt Internetwork Performance Monitor (IPM) nicht und wird nicht unterstützt, wenn der Authentifizierungsbereich auf Lightweight Directory Access Protocol festgelegt ist.
(LDAP), lokal oder gar nicht.
Bei der Duo-Implementierung wird die Multi-Factor-Authentifizierung über den Duo Authentication Proxy durchgeführt. Hierbei handelt es sich um einen Software-Service vor Ort, der Authentifizierungsanforderungen von lokalen Geräten und Anwendungen über RADIUS oder LDAP empfängt, optional eine primäre Authentifizierung für das LDAP-Verzeichnis oder den RADIUS-Authentifizierungsserver durchführt und anschließend Kontakte Duo für die Durchführung einer sekundären Authentifizierung auswählt. Sobald der Benutzer die Zwei-Faktor-Anforderung genehmigt, die als Push-Benachrichtigung von Duo Mobile oder als Telefonanruf usw. empfangen wird, gibt der Duo-Proxy die Zugriffsgenehmigung für das Gerät oder die Anwendung zurück, die eine Authentifizierung angefordert hat.
Diese Konfiguration deckt die Anforderungen für eine erfolgreiche Duo-Implementierung mit UCS Manager über LDAP und Radius ab.
Hinweis: Eine grundlegende Duo Authentication Proxy-Konfiguration finden Sie in den Duo Proxy-Richtlinien: Duo Proxy-Dokument
Navigieren Sie zu UCS Manager > Admin Section > User Management > LDAP, und aktivieren Sie LDAP Providers SSL. Dies bedeutet, dass für die Kommunikation mit der LDAP-Datenbank eine Verschlüsselung erforderlich ist. LDAP verwendet STARTTLS. Dies ermöglicht die verschlüsselte Kommunikation über den Nutzungsport 389. Das Cisco UCS handelt eine Transport Layer Security (TLS)-Sitzung an Port 636 für SSL aus, die erste Verbindung beginnt jedoch unverschlüsselt an Port 389.
Bind DN: Full DN path, it must be the same DN that is entered in the Duo Authentication Proxy for exempt_ou_1= below
Base DN: Specify DN path
Port: 389 or whatever your preference is for STARTTLS traffic.
Timeout: 60 seconds
Vendor: MS AD
Hinweis: STARTTLS wird auf einem Standard-LDAP-Port ausgeführt. Anders als LDAPS verwenden STARTTLS-Integrationen das port=-Feld und nicht das ssl_port=-Feld im Duo Authentication Proxy.
[ldap_server_auto]
ikey=
skey_protected= ==
api_host=api.XXXXXX.duosecurity.com
client=ad_client1
failmode=secure
port=389 or the port of your LDAP or STARTTLS traffic.
ssl_port=636 or the port of your LDAPS traffic.
allow_unlimited_binds=true
exempt_primary_bind=false
ssl_key_path=YOURPRIVATE.key
ssl_cert_path=YOURCERT.pem
exempt_primary_bind=false
exempt_ou_1=full DN path
Navigieren Sie zu UCS Manager > Admin > User Management > Radius, und klicken Sie auf Radius Providers:
Key and Authorization Port: Must match the Radius/ Authentication Proxy configuration.
Timeout: 60 seconds
Retries: 3
[radius_server_auto]
ikey=DIXXXXXXXXXXXXXXXXXX
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
api_host=api-XXXXXXXX.duosecurity.com
radius_ip_1=5.6.7.8
radius_secret_1=radiussecret1
client=ad_client
port=18121
failmode=safe
Bereitstellen des Authentifizierungsproxys in einem internen Firewall-Netzwerk, das:
Schritt 2: Klicken Sie auf Wiederherstellung, und konfigurieren Sie dann Optionen, um den Dienst nach Fehlern neu zu starten.
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.