Configuración De Duo Two-Factor Authentication Para El Acceso A La Administración De Firepower Management Center

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de julio de 2020
ID del documento:214756

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los pasos necesarios para configurar la autenticación externa de dos factores para el acceso de administración en Firepower Management Center (FMC). En este ejemplo, el administrador de FMC se autentica en el servidor ISE y el servidor Duo Authentication Proxy envía una autenticación adicional en forma de notificación push al dispositivo móvil del administrador.

    Prerequisites 

    Requirements 

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración de objetos de Firepower Management Center (FMC)
    • Administración de Identity Services Engine (ISE)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Firepower Management Center (FMC) con la versión 6.3.0
    • Cisco Identity Services Engine (ISE) que ejecuta la versión 2.6.0.156
    • Windows Machine (que ejecuta Windows 7) con conectividad a FMC, ISE e Internet para actuar como servidor proxy de autenticación Duo
    • Windows Machine para acceder a FMC, ISE y Duo Administration Portal
    • cuenta web Duo

    Nota: The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Flujo de autenticación

    Flujo de autenticación explicado

    1. Autenticación principal iniciada con Cisco FMC
    2. Cisco FMC envía una solicitud de autenticación al proxy de autenticación Duo
    3. La autenticación principal debe utilizar Active Directory o RADIUS
    4. Conexión Duo Authentication Proxy establecida para Duo Security sobre el puerto TCP 443
    5. Autenticación secundaria a través del servicio Duo Security
    6. El proxy de autenticación Duo recibe la respuesta de autenticación
    7. Acceso a la GUI de Cisco FMC concedido

    Configurar

    Para completar la configuración, tenga en cuenta estas secciones:

    Pasos de configuración en FMC

    Paso 1. Navegue hasta System > Users > External Authentication, Create an External Authentication Object y establezca el Método de Autenticación como RADIUS. Asegúrese de que el administrador esté seleccionado en Función de usuario predeterminada, como se muestra en la imagen:

    Nota: 10.106.44.177 es la dirección IP de ejemplo del servidor Duo Authentication Proxy.

    Haga clic en Guardar y Aplicar, ignore la advertencia como se muestra en la imagen:

    Paso 2. Navegue hasta Sistema > Usuarios > Usuarios, Crear un Usuario y verifique el Método de Autenticación como Externo como se muestra en la imagen:

         

    Paso 1. Descargue e instale Duo Authentication Proxy Server.

    Inicie sesión en el equipo de Windows e instale el servidor Duo Authentication Proxy: https://dl.duosecurity.com/duoauthproxy-latest.exe

    Se recomienda utilizar un sistema con al menos 1 CPU, 200 MB de espacio en disco y 4 GB de RAM

    Nota: Esta máquina debe tener acceso a FMC, servidor RADIUS (ISE en nuestro caso) y Duo Cloud (Internet)

    Paso 2. Configure el archivo authproxy.cfg.

    Abra este archivo en un editor de texto como Notepad++ o WordPad.

    Nota: La ubicación predeterminada se encuentra en C:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg

    Edite el archivo authproxy.cfg y agregue esta configuración:

    [radius_client]
    host=10.197.223.23                 Sample IP Address of the ISE server
    secret=cisco                       Password configured on the ISE server in order to register the network device

    La dirección IP del FMC se debe configurar junto con la clave secreta RADIUS.

    [radius_server_auto]
    ikey=xxxxxxxxxxxxxxx
    skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
    api_host=api-xxxxxxxx.duosecurity.com
    radius_ip_1=10.197.223.76           IP of FMC
    radius_secret_1=cisco               Radius secret key used on the FMC
    failmode=safe
    client=radius_client
    port=1812
    api_timeout=

    Asegúrese de configurar los parámetros ikey, skey y api_host. Para obtener estos valores, inicie sesión en su cuenta Duo (https://admin.duosecurity.com) y navegue hasta Aplicaciones > Proteger una Aplicación. A continuación, seleccione la aplicación de autenticación RADIUS como se muestra en la imagen:

    Clave de integración = Ikey

    clave secreta = clave

    Nombre de host de API = api_host

    Paso 3. Reinicie el servicio Duo Security Authentication Proxy. Guarde el archivo y Reinicie el servicio Duo en el equipo de windows.

    Abra la consola de servicios de Windows (services.msc), busque Duo Security Authentication Proxy Service en la lista de servicios y haga clic en Restart, como se muestra en la imagen:

    Pasos de configuración de ISE

    Paso 1. Navegue hasta Administración > Dispositivos de red, haga clic Agregar para configurar el dispositivo de red como se muestra en la imagen:

    Nota: 10.106.44.177 es la dirección IP de ejemplo del servidor Duo Authentication Proxy.

    Configure el Secreto Compartido como se menciona en authproxy.cfg en secreto como se muestra en la imagen:

    Paso 2. Navegue hasta Administración > Identidades, Haga clic Agregar para configurar el usuario de identidad como se muestra en la imagen:

    Pasos de configuración en Duo Administration Portal

    Paso 1. Cree un nombre de usuario y active Duo Mobile en el dispositivo final

    Agregue el usuario a la página web de la administración de la nube de Duo. Navegue hasta Usuarios > Agregar usuarios como se muestra en la imagen:

       

    Nota: asegúrese de que el usuario final tiene instalada la aplicación Duo.

    Instalación manual de la aplicación Duo para dispositivos IOS

    Instalación manual de la aplicación Duo para dispositivos android

    Paso 2. Generación automática de código:

    Agregue el número de teléfono del usuario como se muestra en la imagen:

    Seleccione Activate Duo Mobile como se muestra en la imagen: 

    Seleccione Generate Duo Mobile Activation Code como se muestra en la imagen: 

    Seleccione Enviar instrucciones por SMS como se muestra en la imagen: 

    Haga clic en el enlace del SMS y la aplicación Duo se vinculará a la cuenta de usuario en la sección Información del dispositivo, como se muestra en la imagen:

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    Inicie sesión en FMC utilizando las credenciales de usuario que se agregaron en la página de identidad de usuario de ISE. Debe recibir una notificación Duo PUSH en su terminal para la autenticación de dos factores (2FA), aprobarla y FMC iniciaría sesión como se muestra en la imagen: 

    En el servidor ISE, navegue hasta Operaciones > RADIUS > Registros en directo, busque el nombre de usuario utilizado para la autenticación en FMC y seleccione el informe de autenticación detallada en la columna de detalles. Aquí debe verificar si la autenticación se realiza correctamente, como se muestra en la imagen: 

    Troubleshoot

    Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.

    • Verifique las depuraciones en Duo Authentication Proxy Server. Los registros se encuentran en la siguiente ubicación:

         C:\Program Files (x86)\Duo Security Authentication Proxy\log

         Abra el archivo authproxy.log en un editor de texto como Notepad++ o WordPad.

    Fragmentos de registro cuando se ingresan credenciales incorrectas y el servidor ISE rechaza la autenticación.

    2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response
    • En ISE, navegue hasta Operations > RADIUS > Live Logs para verificar los detalles de autenticación.

    Registra fragmentos de autenticación exitosa con ISE y Duo:

    2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Created by Chakshu Piplani
      Technical Consulting Engineer
    • Created by Rohan Biswas
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos