El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la configuración y las prácticas recomendadas para implementar Cisco Duo Multi-Factor Authentication (MFA) con UCS Manager.
Cisco recomienda que tenga conocimiento sobre estos temas:
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Cisco UCS Manager utiliza la autenticación de dos factores para los inicios de sesión de usuarios remotos. El inicio de sesión de autenticación de dos factores requiere un nombre de usuario, un token y una combinación de contraseña en el campo de contraseña.
Se admite la autenticación de dos factores cuando se utiliza el servicio de usuario de acceso telefónico de autenticación remota (RADIUS) o los grupos de proveedores del sistema de control de acceso del controlador de acceso de terminal +(TACACS+) con dominios de autenticación designados con autenticación de dos factores para esos dominios. La autenticación de dos factores no admite el monitor de rendimiento entre redes (IPM) y no se admite cuando el rango de autenticación está establecido en el protocolo ligero de acceso a directorios
(LDAP), local o ninguno.
Con la implementación de Duo, la autenticación multifactor se realiza a través del proxy de autenticación dúo, que es un servicio de software en las instalaciones que recibe solicitudes de autenticación de sus dispositivos y aplicaciones locales a través de RADIUS o LDAP, opcionalmente realiza la autenticación primaria contra su directorio LDAP o servidor de autenticación RADIUS, y luego se pone en contacto con Duo para realizar la autenticación secundaria. Una vez que el usuario aprueba la solicitud de dos factores, que se recibe como notificación de inserción de Duo Mobile, o como llamada telefónica, etc, el proxy Duo devuelve la aprobación de acceso al dispositivo o aplicación que solicitó autenticación.
Esta configuración cubre los requisitos para una implementación Duo exitosa con UCS Manager a través de LDAP y Radius.
Nota: Para la configuración básica de Duo Authentication Proxy, consulte las pautas de Duo Proxy: Documento de Proxy Duo
Navegue hasta UCS Manager > Admin Section > User Management > LDAP y habilite LDAP Providers SSL, esto significa que se requiere cifrado para las comunicaciones con la base de datos LDAP. LDAP utiliza STARTTLS. Esto permite la comunicación cifrada por el puerto de uso 389. Cisco UCS negocia una sesión de seguridad de la capa de transporte (TLS) en el puerto 636 para SSL, pero la conexión inicial comienza sin cifrar en el puerto 389.
Bind DN: Full DN path, it must be the same DN that is entered in the Duo Authentication Proxy for exempt_ou_1= below
Base DN: Specify DN path
Port: 389 or whatever your preference is for STARTTLS traffic.
Timeout: 60 seconds
Vendor: MS AD
Nota: STARTTLS funciona en un puerto LDAP estándar, por lo que a diferencia de LDAPS, las integraciones STARTTLS utilizan el campo port= field not ssl_port= en el Proxy de Autenticación Duo.
[ldap_server_auto]
ikey=
skey_protected= ==
api_host=api.XXXXXX.duosecurity.com
client=ad_client1
failmode=secure
port=389 or the port of your LDAP or STARTTLS traffic.
ssl_port=636 or the port of your LDAPS traffic.
allow_unlimited_binds=true
exempt_primary_bind=false
ssl_key_path=YOURPRIVATE.key
ssl_cert_path=YOURCERT.pem
exempt_primary_bind=false
exempt_ou_1=full DN path
Navegue hasta UCS Manager > Admin > User Management > Radius y haga clic en Proveedores Radius:
Key and Authorization Port: Must match the Radius/ Authentication Proxy configuration.
Timeout: 60 seconds
Retries: 3
[radius_server_auto]
ikey=DIXXXXXXXXXXXXXXXXXX
skey=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
api_host=api-XXXXXXXX.duosecurity.com
radius_ip_1=5.6.7.8
radius_secret_1=radiussecret1
client=ad_client
port=18121
failmode=safe
Implemente el Proxy de Autenticación en una red interna con firewall que:
Paso 2. Haga clic en Recuperación y, a continuación, configure las opciones para reiniciar el servicio después de las fallas.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Actualmente no hay información de troubleshooting específica disponible para esta configuración.