Configuración de la autenticación multifactor nativa ISE 3.3 con DUO

Opciones de descarga

  • PDF     (2.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.4 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:11 de diciembre de 2023
ID del documento:221232

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo integrar el parche 1 de Identity Services Engine (ISE) 3.3 con DUO para la autenticación multifactor. Desde la versión 3.3, parche 1, ISE se puede configurar para la integración nativa con servicios DUO, por lo que se elimina la necesidad del proxy de autenticación.

    Prerequisites

    Requirements

    Cisco recomienda tener conocimientos básicos sobre estos temas:

    • ISE

    • DUO

    Componentes Utilizados

    La información de este documento se basa en:

    • Parche 1 de Cisco ISE versión 3.3
    • DUO
    • Cisco ASA versión 9.16(4)
    • Cisco Secure Client versión 5.0.04032

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de flujo

    Flow DiagramDiagrama de flujo

    Pasos

    0. La fase de configuración incluye la selección de los grupos de Active Directory, desde los cuales se sincronizan los usuarios, la sincronización se realiza una vez que se completa el asistente de MFA. Consta de dos pasos. Búsquedas en Active Directory para obtener la lista de usuarios y determinados atributos. Se realiza una llamada a DUO Cloud con API de administración para que los usuarios accedan a ella. Los administradores deben inscribir usuarios. La inscripción puede incluir el paso opcional de activar el usuario para Duo Mobile, que permite a los usuarios utilizar la autenticación de un solo toque con Duo Push

    1. Se inicia la conexión VPN, el usuario introduce el nombre de usuario y la contraseña y hace clic en Aceptar. El dispositivo de red envía la solicitud de acceso RADIUS y se envía a PSN

    2. El nodo PSN autentica al usuario mediante Active Directory

    3. Cuando la autenticación se realiza correctamente y se configura la política MFA, PSN interactúa con PAN para comunicarse con DUO Cloud

    4. Se realiza una llamada a DUO Cloud con Auth API para invocar una autenticación de segundo factor con DUO. ISE se comunica con el servicio de Duo en el puerto TCP SSL 443.

    5. La autenticación de segundo factor tiene lugar. El usuario completa el proceso de autenticación de segundo factor

    6. DUO responde a PAN con el resultado de la autenticación de segundo factor

    7. PAN responde a PSN con el resultado de la autenticación de segundo factor

    8. La aceptación de acceso se envía al dispositivo de red, se establece la conexión VPN

    Configuraciones

    Seleccione las aplicaciones que desea proteger

    Vaya a DU Admin Dashboard https://admin.duosecurity.com/login. Inicie sesión con credenciales de administrador.

    Vaya a Panel > Aplicaciones > Proteger una aplicación. Busque Auth API y seleccione Protect.

    Auth API 1API de autenticación 1

    Anote la clave de integración y la clave secreta.

    Auth API 2API de autenticación 2

    Vaya a Panel > Aplicaciones > Proteger una aplicación. Busque Admin API y seleccione Protect.

    Nota: Sólo los administradores con el rol Propietario pueden crear o modificar una aplicación API de administración en el panel de administración de Duo.

    Auth API 1API de autenticación 1

    Anote la clave de integración, la clave secreta y el nombre de host de la API.

    Admin API 2API de administración 2

    Configurar permisos de API

    Vaya a Panel > Aplicaciones > Aplicación. Seleccione Admin API.

    Marque Grant Read Resource y Grant Write Resource permissions. Haga clic en Guardar cambios.

    Admin API 3API de administración 3

    Integración de ISE con Active Directory

    1. Vaya a Administration > Identity Management > External Identity Stores > Active Directory > Add. Proporcione el nombre del punto de unión, el dominio de Active Directory y haga clic en Enviar.

    Active Directory 1Active Directory 1

    2. Cuando se le solicite que una todos los nodos ISE a este dominio de Active Directory, haga clic en Sí.

    Active Directory 2Active Directory 2

    3. Proporcione el nombre de usuario y la contraseña de AD y haga clic en Aceptar.

    Active Directory 3Directorio activo 3

    La cuenta de AD necesaria para el acceso al dominio en ISE puede tener cualquiera de estas características:

    • Agregar estaciones de trabajo al derecho de usuario del dominio correspondiente
    • Crear objetos de equipo o Eliminar objetos de equipo en el contenedor de equipos correspondiente donde se crea la cuenta del equipo ISE antes de que se una al equipo ISE en el dominio

    Nota: Cisco recomienda deshabilitar la política de bloqueo para la cuenta ISE y configurar la infraestructura AD para enviar alertas al administrador si se utiliza una contraseña incorrecta para esa cuenta. Cuando se introduce una contraseña incorrecta, ISE no crea ni modifica su cuenta de equipo cuando es necesario y, por lo tanto, posiblemente deniegue todas las autenticaciones.

    4. El estado de AD es operativo.

    Active Directory 4Directorio activo 4

    5. Vaya a Grupos > Agregar > Seleccionar grupos del directorio > Recuperar grupos. Active las casillas de verificación de los grupos de AD que desee (que se utilizan para sincronizar usuarios y para la directiva de autorización), como se muestra en esta imagen.

    Active Directory 5Active Directory 5

     6. Haga clic en Guardar para guardar los grupos de AD recuperados.

    Active Directory 6Active Directory 6

    Activar API abierta

    Vaya a Administration > System > Settings > API Settings > API Service Settings. Habilite Open API y haga clic en Save.

    Open APIAPI abierta

    Activar origen de identidad de MFA

    Vaya a Administration > Identity Management > Settings > External Identity Sources Settings. Habilite MFA y haga clic en Guardar.

    ISE MFA 1ISE MFA 1

    Configurar origen de identidad externa de MFA

    Vaya a Administration > Identity Management > External Identity Sources. Haga clic en Agregar. En la pantalla Welcome (Bienvenido), haga clic en Let's Do It (Hagámoslo).

    ISE DUO wizard 1Asistente 1 de ISE DUO

    En la siguiente pantalla, configure Connection Name y haga clic en Next.

    ISE DUO wizard 2Asistente 2 de ISE DUO

    Configure los valores de Nombre de host de API, Integración de API de administración y Claves secretas, Integración de API de autenticación y Claves secretas desde el paso Select Applications to Protect.

    ISE DUO wizard 3Asistente de ISE DUO 3

    Haga clic en Probar conexión. Una vez que la conexión de prueba tenga éxito, puede hacer clic en Next (Siguiente).

    ISE DUO wizard 4Asistente para ISE DUO 4

    Configure Identity Sync. Este proceso sincroniza a los usuarios de los grupos de Active Directory que seleccione en la cuenta DUO mediante las credenciales de la API proporcionadas anteriormente. Seleccione Active Directory Join Point. Haga clic en Next.

    Nota: La configuración de Active Directory está fuera del alcance del documento. Siga este documento para integrar ISE con Active Directory.

    ISE DUO wizard 5Asistente para ISE DUO 5

    Seleccione Active Directory Groups desde el cual desea que los usuarios se sincronicen con DUO. Haga clic en Next.

    ISE DUO wizard 6Asistente para ISE DUO 6

    Verifique que la configuración sea correcta y haga clic en Finalizado.

    ISE DUO wizard 7Asistente de ISE DUO 7

    Inscribir usuario en DUO

    Nota: La inscripción de usuarios DUO está fuera del alcance del documento. Considere este documento para obtener más información sobre la inscripción de usuarios. A los efectos de este documento, se utiliza la inscripción de usuario manual.

    Abra el panel de administración de DUO. Vaya a Panel > Usuarios. Haga clic en el usuario sincronizado desde ISE.

    DUO enroll 1DUO enroll 1

    Desplácese hacia abajo hasta Teléfonos. Haga clic en Agregar teléfono.

    DUO enroll 2DUO enroll 2

    Introduzca el número de teléfono y haga clic en Agregar teléfono.

    Screenshot_2023-11-16_at_14_47_32

    Configurar conjuntos de políticas

    1. Configurar la política de autenticación

    Vaya a Policy > Policy Set. Seleccione el conjunto de políticas para el que desea activar MFA. Configure la política de autenticación con el almacén de identidades de autenticación principal como Active Directory.

    Policy Set 1Conjunto de políticas 1

    2. Configuración de la política MFA

    Una vez que MFA esté habilitado en ISE, habrá disponible una nueva sección en los conjuntos de políticas de ISE. Expanda Política de MFA y haga clic en + para agregar la Política de MFA. Configure las condiciones MFA de su elección, seleccione DUO-MFA configurado previamente en la sección Use. Haga clic en Guardar.

    ISE PolicyPolítica de ISE

    Nota: La política configurada anteriormente depende del grupo de túnel denominado RA. Los usuarios conectados al grupo de túnel RA se ven obligados a realizar MFA. La configuración de ASA/FTD está fuera del alcance de este documento. Utilice este documento para configurar ASA/FTD

    3. Configurar directiva de autorización 

    Configure la directiva de autorización con la condición y los permisos del grupo de Active Directory que elija.

    Policy Set 3Conjunto de políticas 3

    Limitaciones

    En el momento de escribir este documento:

    1. Solo DUO push y teléfono son compatibles como método de autenticación de segundo factor

    2. No se envía ningún grupo a DUO Cloud, solo se admite la sincronización del usuario

    3. Solo se admiten los siguientes casos prácticos de autenticación multifactor:

    • Autenticación de usuario VPN
    • Autenticación de acceso de administrador TACACS+

    Verificación

    Abra Cisco Secure Client, haga clic en Connect. Proporcione Nombre de usuario y Contraseña y haga clic en Aceptar.

    VPN ClientCliente VPN

    Los usuarios de dispositivos móviles deben recibir una notificación DUO Push. Aprobar esto. Se ha establecido la conexión VPN.

    DUO PushInserción DUO

    Vaya a ISE Operations > Live Logs para confirmar la autenticación de usuario.

    Live Logs 1Registros activos 1

    Haga clic en el informe de autenticación de detalles, verifique la política de autenticación, la política de autorización y el resultado de la autorización. Desplácese por los pasos de la derecha. Para confirmar que la AMF ha sido satisfactoria, debe estar presente la siguiente línea:

    La autenticación multifactor se ha realizado correctamente

    Live Logs 2Registros activos 2

    Troubleshoot

    Depuraciones para habilitar en ISE.

    caso de uso Componente de registro Archivo de registro Mensajes de registro de claves
    Registros relacionados con MFA motor de políticas ise-psc.log DuoMfaAuthApiUtils -::::- Solicitud enviada a Duo Client manager
    DuoMfaAuthApiUtils —> Duo response
    Registros relacionados con la política prt-JNI port-management.log RadiusMfaPolicyRequestProcessor
    TacacsMfaPolicyRequestProcessor
    Registros relacionados con la autenticación Runtime-AAA prrt-server.log MfaAuthenticator::onAuthenticateEvent
    MfaAuthenticator::sendAuthenticateEvent
    MfaAuthenticator::onResponseEvaluatePolicyEvent
    Registros relacionados con autenticación DUO, sincronización de ID duo-sync-service.log

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    11-Dec-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Eugene Korneychuk
      Cisco TAC Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos