¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Autenticación bifactorial del dúo de la configuración para el Acceso de administración ISE

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:20 de enero de 2020
ID del documento:214813
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los pasos requeridos configurar la autenticación bifactorial externa para el Acceso de administración del Identity Services Engine (ISE). En este ejemplo, el administrador ISE autentica contra el servidor Token RADIUS y una autenticación adicional bajo la forma de notificación del empuje es enviada por el servidor proxy de la autenticación del dúo al dispositivo móvil del administrador.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Protocolo RADIUS
  • Configurar el servidor Token y las identidades ISE RADIUS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Identity Services Engine (ISE)
  • Active Directory (AD)
  • Servidor proxy de la autenticación del dúo
  • Servicio de la nube del dúo

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

Configuración

Configuración del dúo

Paso 1. Descargue y instale el servidor proxy de la autenticación del dúo en una máquina de Windows o del linux: https://duo.com/docs/ciscoise-radius#install-the-duo-authentication-proxy

Nota: Esta máquina debe tener acceso a la nube ISE y del dúo (Internet)

Paso 2. Configure el archivo authproxy.cfg.

Abra este archivo en un editor de textos tal como Notepad++ o WordPad.

Nota: La ubicación predeterminada se encuentra en C:\Program clasifía (Proxy de autenticación de la Seguridad x86)\Duo \ el conf \ authproxy.cfg

 Step3.  Cree “Cisco una aplicación ISE RADIUS” en el panel Admin del dúo: https://duo.com/docs/ciscoise-radius#first-steps

 Step4.  Edite el archivo authproxy.cfg y agregue esta configuración.

        ikey= xxxxxxxxxxxxxxxxxxxxxxxxxx
        skey= xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
        api_host=api-xxxxxxxx.duosecurity.com
        radius_ip_1=10.127.196.189                    Sample IP address of the ISE server
        radius_secret_1=******
        failmode=secure
        client=ad_client
        port=1812

Step5. Configure ad_client con sus detalles del Active Directory. El proxy del auth del dúo utiliza la información abajo para autenticar contra el AD para la autenticación primaria.

        [ad_client]
        host=10.127.196.230                           Sample IP address of the Active Directory
        service_account_username=< AD-username >
        service_account_password=< AD-password >
        search_dn=CN=Users,DC=gce,DC=iselab,DC=local

Nota: Si su red requiere la conexión del proxy de HTTP para el acceso a internet, agregue los detalles del http_proxy en authproxy.cfg.

Step6. Recomience el servicio del Proxy de autenticación de la Seguridad del dúo. Salve el archivo y recomience el servicio del dúo en la máquina de las ventanas. Abra la consola de servicio de Windows (services.msc), localice el servicio del Proxy de autenticación de DuoSecurity en la lista de servicios, y haga clic a Restartas mostrado en la imagen:

Step7. Cree un nombre de usuario y active el móvil del dúo en el dispositivo extremo: https://duo.com/docs/administration-users#creating-users-manually

Agregue al usuario en el panel Admin del dúo. Navegue a los usuarios de los usuarios > Add, tal y como se muestra en de la imagen:

Asegúrese que el usuario final tenga el app del dúo instalado en el teléfono.

Selecto active el móvil del dúo, tal y como se muestra en de la imagen: 

Selecto genere el código de activación móvil del dúo, tal y como se muestra en de la imagen: 

Selecto envíe las instrucciones por SMS, tal y como se muestra en de la imagen: 

Haga clic el link en SMS, y el app del dúo consigue conectado a la cuenta de usuario en la sección de información del dispositivo, tal y como se muestra en de la imagen:

Configuración ISE

Paso 1. Integre el ISE con el proxy del auth del dúo.

Navegue a la administración > a la Administración de la identidad > las fuentes externas de la identidad > token RADIUS, tecleo agregan para agregar a un nuevo servidor Token RADIUS. Defina Nombre del servidor en la ficha general, la dirección IP y la clave compartida en la lengueta de la conexión, tal y como se muestra en de la imagen:

Nota: Fije el tiempo de espera del servidor como 60 segundos de modo que los usuarios tengan bastante tiempo de actuar en el empuje

Step2. Navegue a la administración > al sistema > al acceso > a la autenticación > al método de autentificación Admin y seleccione al servidor Token previamente configurado RADIUS como la fuente de la identidad, tal y como se muestra en de la imagen:

Step3. Navegue a la administración > al sistema > al acceso > a los administradores > a los Usuarios administradores Admin y cree a un Usuario administrador como externo y proporcione el privilegio estupendo admin, tal y como se muestra en de la imagen:

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Abra el ISE GUI, servidor Token selecto RADIUS como fuente de la identidad y login con el Usuario administrador.

Troubleshooting

Esta sección brinda información que puede utilizar para la solución de problemas en su configuración.

Para resolver problemas los problemas relacionados con la Conectividad del proxy del dúo con la nube o el Active Directory, debug del permiso en el proxy del auth del dúo agregando el “debug=true” bajo sección principal de authproxy.cfg.

Los registros están situados bajo siguiente ubicación:

     C:\Program clasifía (Proxy de autenticación \ registro de la Seguridad x86)\Duo

     Abra el archivo authproxy.log en un editor de textos tal como Notepad++ o WordPad.

Registre el snippets del proxy del auth del dúo que recibe la petición del ISE y que la envía a la nube del dúo.

2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] Sending request from 10.127.196.189 to radius_server_auto
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] Received new request id 2 from ('10.127.196.189', 62001)
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] (('10.127.196.189', 62001), duoadmin, 2): login attempt for username u'duoadmin'
2019-08-19T04:59:27-0700 [DuoForwardServer (UDP)] Sending AD authentication request for 'duoadmin' to '10.127.196.230'
2019-08-19T04:59:27-0700 [duoauthproxy.modules.ad_client._ADAuthClientFactory#info] Starting factory

Registre el snippets del proxy del auth del dúo incapaz de alcanzar la nube del dúo.

2019-08-19T04:59:27-0700 [duoauthproxy.modules.ad_client._ADAuthClientFactory#info] Stopping factory 
2019-08-19T04:59:37-0700 [-] Duo preauth call failed
Traceback (most recent call last):
File "twisted\internet\defer.pyc", line 654, in _runCallbacks
File "twisted\internet\defer.pyc", line 1475, in gotResult
File "twisted\internet\defer.pyc", line 1416, in _inlineCallbacks
File "twisted\python\failure.pyc", line 512, in throwExceptionIntoGenerator

File "duoauthproxy\lib\radius\duo_server.pyc", line 111, in preauth
File "twisted\internet\defer.pyc", line 1416, in _inlineCallbacks
File "twisted\python\failure.pyc", line 512, in throwExceptionIntoGenerator
File "duoauthproxy\lib\duo_async.pyc", line 246, in preauth
File "twisted\internet\defer.pyc", line 1416, in _inlineCallbacks
File "twisted\python\failure.pyc", line 512, in throwExceptionIntoGenerator
File "duoauthproxy\lib\duo_async.pyc", line 202, in call
File "twisted\internet\defer.pyc", line 654, in _runCallbacks
File "duoauthproxy\lib\duo_async.pyc", line 186, in err_func
duoauthproxy.lib.duo_async.DuoAPIFailOpenError: API Request Failed: DNSLookupError('api-xxxxxxxx.duosecurity.com',)

2019-08-19T04:59:37-0700 [-] (('10.127.196.189', 62001), duoadmin, 3): Failmode Secure - Denied Duo login on preauth failure
2019-08-19T04:59:37-0700 [-] (('10.127.196.189', 62001), duoadmin, 3): Returning response code 3: AccessReject
2019-08-19T04:59:37-0700 [-] (('10.127.196.189', 62001), duoadmin, 3): Sending response

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nancy Saini
    Ingeniero de Cisco TAC
  • Hari Haran S M
    Ingeniero de Cisco TAC
  • Prashant Joshi
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros