Introducción
Este documento describe los pasos requeridos configurar la autenticación bifactorial externa para el Acceso de administración del Identity Services Engine (ISE). En este ejemplo, el administrador ISE autentica contra el servidor Token RADIUS y una autenticación adicional bajo la forma de notificación del empuje es enviada por el servidor proxy de la autenticación del dúo al dispositivo móvil del administrador.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Protocolo RADIUS
- Configurar el servidor Token y las identidades ISE RADIUS
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Identity Services Engine (ISE)
- Active Directory (AD)
- Servidor proxy de la autenticación del dúo
- Servicio de la nube del dúo
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Diagrama de la red

Configuración
Configuración del dúo
Paso 1. Descargue y instale el servidor proxy de la autenticación del dúo en una máquina de Windows o del linux: https://duo.com/docs/ciscoise-radius#install-the-duo-authentication-proxy
Nota: Esta máquina debe tener acceso a la nube ISE y del dúo (Internet)
Paso 2. Configure el archivo authproxy.cfg.
Abra este archivo en un editor de textos tal como Notepad++ o WordPad.
Nota: La ubicación predeterminada se encuentra en C:\Program clasifía (Proxy de autenticación de la Seguridad x86)\Duo \ el conf \ authproxy.cfg
Step3. Cree “Cisco una aplicación ISE RADIUS” en el panel Admin del dúo: https://duo.com/docs/ciscoise-radius#first-steps
Step4. Edite el archivo authproxy.cfg y agregue esta configuración.
ikey= xxxxxxxxxxxxxxxxxxxxxxxxxx
skey= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.127.196.189 Sample IP address of the ISE server
radius_secret_1=******
failmode=secure
client=ad_client
port=1812
Step5. Configure ad_client con sus detalles del Active Directory. El proxy del auth del dúo utiliza la información abajo para autenticar contra el AD para la autenticación primaria.
[ad_client]
host=10.127.196.230 Sample IP address of the Active Directory
service_account_username=< AD-username >
service_account_password=< AD-password >
search_dn=CN=Users,DC=gce,DC=iselab,DC=local
Nota: Si su red requiere la conexión del proxy de HTTP para el acceso a internet, agregue los detalles del http_proxy en authproxy.cfg.
Step6. Recomience el servicio del Proxy de autenticación de la Seguridad del dúo. Salve el archivo y recomience el servicio del dúo en la máquina de las ventanas. Abra la consola de servicio de Windows (services.msc), localice el servicio del Proxy de autenticación de DuoSecurity en la lista de servicios, y haga clic a Restartas mostrado en la imagen:

Step7. Cree un nombre de usuario y active el móvil del dúo en el dispositivo extremo: https://duo.com/docs/administration-users#creating-users-manually
Agregue al usuario en el panel Admin del dúo. Navegue a los usuarios de los usuarios > Add, tal y como se muestra en de la imagen:

Asegúrese que el usuario final tenga el app del dúo instalado en el teléfono.


Selecto active el móvil del dúo, tal y como se muestra en de la imagen:

Selecto genere el código de activación móvil del dúo, tal y como se muestra en de la imagen:

Selecto envíe las instrucciones por SMS, tal y como se muestra en de la imagen:

Haga clic el link en SMS, y el app del dúo consigue conectado a la cuenta de usuario en la sección de información del dispositivo, tal y como se muestra en de la imagen:

Configuración ISE
Paso 1. Integre el ISE con el proxy del auth del dúo.
Navegue a la administración > a la Administración de la identidad > las fuentes externas de la identidad > token RADIUS, tecleo agregan para agregar a un nuevo servidor Token RADIUS. Defina Nombre del servidor en la ficha general, la dirección IP y la clave compartida en la lengueta de la conexión, tal y como se muestra en de la imagen:
Nota: Fije el tiempo de espera del servidor como 60 segundos de modo que los usuarios tengan bastante tiempo de actuar en el empuje

Step2. Navegue a la administración > al sistema > al acceso > a la autenticación > al método de autentificación Admin y seleccione al servidor Token previamente configurado RADIUS como la fuente de la identidad, tal y como se muestra en de la imagen:

Step3. Navegue a la administración > al sistema > al acceso > a los administradores > a los Usuarios administradores Admin y cree a un Usuario administrador como externo y proporcione el privilegio estupendo admin, tal y como se muestra en de la imagen:

Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
Abra el ISE GUI, servidor Token selecto RADIUS como fuente de la identidad y login con el Usuario administrador.

Troubleshooting
Esta sección brinda información que puede utilizar para la solución de problemas en su configuración.
Para resolver problemas los problemas relacionados con la Conectividad del proxy del dúo con la nube o el Active Directory, debug del permiso en el proxy del auth del dúo agregando el “debug=true” bajo sección principal de authproxy.cfg.
Los registros están situados bajo siguiente ubicación:
C:\Program clasifía (Proxy de autenticación \ registro de la Seguridad x86)\Duo
Abra el archivo authproxy.log en un editor de textos tal como Notepad++ o WordPad.
Registre el snippets del proxy del auth del dúo que recibe la petición del ISE y que la envía a la nube del dúo.
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] Sending request from 10.127.196.189 to radius_server_auto
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] Received new request id 2 from ('10.127.196.189', 62001)
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] (('10.127.196.189', 62001), duoadmin, 2): login attempt for username u'duoadmin'
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] Sending AD authentication request for 'duoadmin' to '10.127.196.230'
2019-08-19T04:59:27-0700 [duoauthproxy.modules.ad_client._ADAuthClientFactory#info] Starting factory
Registre el snippets del proxy del auth del dúo incapaz de alcanzar la nube del dúo.
2019-08-19T04:59:27-0700 [duoauthproxy.modules.ad_client._ADAuthClientFactory#info] Stopping factory
2019-08-19T04:59:37-0700 [-] Duo preauth call failed
Traceback (most recent call last):
File "twisted\internet\defer.pyc", line 654, in _runCallbacks
File "twisted\internet\defer.pyc", line 1475, in gotResult
File "twisted\internet\defer.pyc", line 1416, in _inlineCallbacks
File "twisted\python\failure.pyc", line 512, in throwExceptionIntoGenerator
File "duoauthproxy\lib\radius\duo_server.pyc", line 111, in preauth
File "twisted\internet\defer.pyc", line 1416, in _inlineCallbacks
File "twisted\python\failure.pyc", line 512, in throwExceptionIntoGenerator
File "duoauthproxy\lib\duo_async.pyc", line 246, in preauth
File "twisted\internet\defer.pyc", line 1416, in _inlineCallbacks
File "twisted\python\failure.pyc", line 512, in throwExceptionIntoGenerator
File "duoauthproxy\lib\duo_async.pyc", line 202, in call
File "twisted\internet\defer.pyc", line 654, in _runCallbacks
File "duoauthproxy\lib\duo_async.pyc", line 186, in err_func
duoauthproxy.lib.duo_async.DuoAPIFailOpenError: API Request Failed: DNSLookupError('api-xxxxxxxx.duosecurity.com',)
2019-08-19T04:59:37-0700 [-] (('10.127.196.189', 62001), duoadmin, 3): Failmode Secure - Denied Duo login on preauth failure
2019-08-19T04:59:37-0700 [-] (('10.127.196.189', 62001), duoadmin, 3): Returning response code 3: AccessReject
2019-08-19T04:59:37-0700 [-] (('10.127.196.189', 62001), duoadmin, 3): Sending response
Información Relacionada