El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los pasos necesarios para configurar la autenticación externa de dos factores para el acceso de administración en Firepower Management Center (FMC). En este ejemplo, el administrador de FMC se autentica en el servidor ISE y el servidor Duo Authentication Proxy envía una autenticación adicional en forma de notificación push al dispositivo móvil del administrador.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Nota: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Para completar la configuración, tenga en cuenta estas secciones:
Paso 1. Navegue hasta System > Users > External Authentication, Create an External Authentication Object y establezca el Método de Autenticación como RADIUS. Asegúrese de que el administrador esté seleccionado en Función de usuario predeterminada, como se muestra en la imagen:
Nota: 10.106.44.177 es la dirección IP de ejemplo del servidor Duo Authentication Proxy.
Haga clic en Guardar y Aplicar, ignore la advertencia como se muestra en la imagen:
Paso 2. Navegue hasta Sistema > Usuarios > Usuarios, Crear un Usuario y verifique el Método de Autenticación como Externo como se muestra en la imagen:
Paso 1. Descargue e instale Duo Authentication Proxy Server.
Inicie sesión en el equipo de Windows e instale el servidor Duo Authentication Proxy: https://dl.duosecurity.com/duoauthproxy-latest.exe
Se recomienda utilizar un sistema con al menos 1 CPU, 200 MB de espacio en disco y 4 GB de RAM
Nota: Esta máquina debe tener acceso a FMC, servidor RADIUS (ISE en nuestro caso) y Duo Cloud (Internet)
Paso 2. Configure el archivo authproxy.cfg.
Abra este archivo en un editor de texto como Notepad++ o WordPad.
Nota: La ubicación predeterminada se encuentra en C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg
Edite el archivo authproxy.cfg y agregue esta configuración:
[radius_client]
host=10.197.223.23 Sample IP Address of the ISE server
secret=cisco Password configured on the ISE server in order to register the network device
La dirección IP del FMC se debe configurar junto con la clave secreta RADIUS.
[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76 IP of FMC
radius_secret_1=cisco Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=
Asegúrese de configurar los parámetros ikey, skey y api_host. Para obtener estos valores, inicie sesión en su cuenta Duo (https://admin.duosecurity.com) y navegue hasta Aplicaciones > Proteger una Aplicación. A continuación, seleccione la aplicación de autenticación RADIUS como se muestra en la imagen:
Clave de integración = Ikey
clave secreta = clave
Nombre de host de API = api_host
Paso 3. Reinicie el servicio Duo Security Authentication Proxy. Guarde el archivo y Reinicie el servicio Duo en el equipo de windows.
Abra la consola de servicios de Windows (services.msc), busque Duo Security Authentication Proxy Service en la lista de servicios y haga clic en Restart, como se muestra en la imagen:
Paso 1. Navegue hasta Administración > Dispositivos de red, haga clic Agregar para configurar el dispositivo de red como se muestra en la imagen:
Nota: 10.106.44.177 es la dirección IP de ejemplo del servidor Duo Authentication Proxy.
Configure el Secreto Compartido como se menciona en authproxy.cfg en secreto como se muestra en la imagen:
Paso 2. Navegue hasta Administración > Identidades, Haga clic Agregar para configurar el usuario de identidad como se muestra en la imagen:
Paso 1. Cree un nombre de usuario y active Duo Mobile en el dispositivo final
Agregue el usuario a la página web de la administración de la nube de Duo. Navegue hasta Usuarios > Agregar usuarios como se muestra en la imagen:
Nota: asegúrese de que el usuario final tiene instalada la aplicación Duo.
Instalación manual de la aplicación Duo para dispositivos IOS
Instalación manual de la aplicación Duo para dispositivos android
Paso 2. Generación automática de código:
Agregue el número de teléfono del usuario como se muestra en la imagen:
Seleccione Activate Duo Mobile como se muestra en la imagen:
Seleccione Generate Duo Mobile Activation Code como se muestra en la imagen:
Seleccione Enviar instrucciones por SMS como se muestra en la imagen:
Haga clic en el enlace del SMS y la aplicación Duo se vinculará a la cuenta de usuario en la sección Información del dispositivo, como se muestra en la imagen:
Utilize esta sección para confirmar que su configuración funcione correctamente.
Inicie sesión en FMC utilizando las credenciales de usuario que se agregaron en la página de identidad de usuario de ISE. Debe recibir una notificación Duo PUSH en su terminal para la autenticación de dos factores (2FA), aprobarla y FMC iniciaría sesión como se muestra en la imagen:
En el servidor ISE, navegue hasta Operaciones > RADIUS > Registros en directo, busque el nombre de usuario utilizado para la autenticación en FMC y seleccione el informe de autenticación detallada en la columna de detalles. Aquí debe verificar si la autenticación se realiza correctamente, como se muestra en la imagen:
Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.
C:\Program Files (x86)\Duo Security Authentication Proxy\log
Abra el archivo authproxy.log en un editor de texto como Notepad++ o WordPad.
Fragmentos de registro cuando se ingresan credenciales incorrectas y el servidor ISE rechaza la autenticación.
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 10.197.223.76 is the IP of the FMC 2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524) 2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani' 2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3 10.197.223.23 is the IP of the ISE Server. 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject 2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
Registra fragmentos de autenticación exitosa con ISE y Duo:
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto 2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095) 2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani' 2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137 2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2 <<<< At this point we have got successful authentication from ISE Server. 2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth 2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth> 2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth' 2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None 2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth 2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth> 2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth> 2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...' 2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept <<<< At this point, user has hit the approve button and the authentication is successful. 2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response 2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>