Configurer l'intégration Duo avec Active Directory et ISE pour l'authentification à deux facteurs sur les clients VPN Anyconnect/Remote Access

1. Authentification principale initiée à Cisco ISE
2. Cisco ISE envoie une demande d'authentification au proxy d'authentification Duo
3. L'authentification principale utilise Active Directory ou RADIUS
4. Connexion du proxy d'authentification duo établie à Duo Security sur le port TCP 443
5. Authentification secondaire via le service Duo Security
6. Le proxy d'authentification Duo reçoit la réponse d'authentification
7. Accès Cisco ISE accordé

Comptes d'utilisateurs :

• Administrateur Active Directory : Il est utilisé comme compte d'annuaire pour permettre au proxy d'authentification Duo de se lier au serveur Active Directory pour l'authentification principale.
• Utilisateur de test Active Directory
• Utilisateur de test duo pour authentification secondaire

Configurations Active Directory

Le serveur Windows est préconfiguré avec les services de domaine Active Directory.

Remarque : si le Gestionnaire proxy d'authentification RADIUS Duo s'exécute sur la même machine hôte Active Directory, les rôles NPS (Network Policy Server) doivent être désinstallés/supprimés, si les deux services RADIUS s'exécutent, ils peuvent entrer en conflit et affecter les performances. 

Afin d'obtenir la configuration AD pour l'authentification et l'identité utilisateur sur les utilisateurs VPN d'accès à distance, quelques valeurs sont requises. Tous ces détails doivent être créés ou collectés sur le serveur Microsoft avant que la configuration puisse être effectuée sur le serveur proxy ASA et Duo Auth. Les principales valeurs sont les suivantes :

• le nom de domaine. Il s'agit du nom de domaine du serveur. Dans ce guide de configuration, agarciam.cisco est le nom de domaine.

• Adresse IP/FQDN du serveur. Adresse IP ou nom de domaine complet utilisé pour atteindre le serveur Microsoft. Si un nom de domaine complet est utilisé, un serveur DNS doit être configuré dans le proxy ASA et Duo Auth pour résoudre le nom de domaine complet. Dans ce guide de configuration, cette valeur est agarciam.cisco (qui passe à 10.28.17.107).

• Port serveur. Port utilisé par le service LDAP. Par défaut, LDAP et STARTTLS utilisent le port TCP 389 pour LDAP et LDAP sur SSL (LDAPS) utilise le port TCP 636.

• CA racine. Si LDAPS ou STARTTLS est utilisé, l'autorité de certification racine utilisée pour signer le certificat SSL utilisé par LDAPS est requise.

• Nom d'utilisateur et mot de passe du répertoire. Il s'agit du compte utilisé par le serveur proxy Duo Auth pour se lier au serveur LDAP et authentifier les utilisateurs et rechercher les utilisateurs et les groupes.

• Nom distinctif de base et de groupe (DN). Le DN de base est le point de départ du proxy Auth Duo et il indique à Active Directory de commencer la recherche et l'authentification des utilisateurs. Dans ce guide de configuration, le domaine racine agarciam.cisco est utilisé comme DN de base et DN de groupe est DOUBLE-UTILISATEURS.

1. Afin d'ajouter un nouvel utilisateur Duo, sur Windows Server, accédez à l'icône Windows en bas à gauche et cliquez sur Outils d'administration Windows, comme illustré dans l'image.

2. Dans la fenêtre Outils d'administration Windows, accédez à Utilisateurs et ordinateurs Active Directory. Dans le panneau Utilisateurs et ordinateurs Active Directory, développez l'option de domaine et accédez au dossier Utilisateurs. Dans cet exemple de configuration, Duo-USERS est utilisé comme groupe cible pour l'authentification secondaire.

3. Cliquez avec le bouton droit de la souris sur le dossier Utilisateurs et sélectionnez Nouveau > Utilisateur, comme illustré dans l'image.

4. Dans la fenêtre Nouvel objet-Utilisateur, spécifiez les attributs d'identité de ce nouvel utilisateur et cliquez sur Suivant, comme indiqué dans l'image.

5. Confirmez le mot de passe et cliquez sur Suivant, puis Terminer une fois les informations utilisateur vérifiées.

6. Affectez le nouvel utilisateur à un groupe spécifique, cliquez dessus avec le bouton droit et sélectionnez Ajouter à un groupe, comme illustré dans l'image.

7. Dans le panneau Sélectionner des groupes, tapez le nom du groupe souhaité et cliquez sur Vérifier les noms. Sélectionnez ensuite le nom qui correspond à vos critères et cliquez sur OK.

8. Il s'agit de l'utilisateur utilisé dans ce document comme exemple.

Configurations Duo

1. Connectez-vous à votre portail d'administration Dudo.

2.Dans le panneau de gauche, accédez à Utilisateurs, cliquez sur Ajouter un utilisateur et tapez le nom de l'utilisateur correspondant à notre nom d'utilisateur de domaine actif, puis cliquez sur Ajouter un utilisateur.

3. Dans le panneau du nouvel utilisateur, remplissez les zones vides toutes les informations nécessaires.

4. Sous les périphériques utilisateur, spécifiez la méthode d'authentification secondaire.

Remarque : dans ce document, la méthode de transmission duo pour les appareils mobiles est utilisée, de sorte qu'un appareil téléphonique doit être ajouté.

Cliquez sur Ajouter un téléphone.

5. Tapez le numéro de téléphone de l'utilisateur et cliquez sur Ajouter un téléphone.

6. Dans le panneau d'administration de Duo gauche, accédez à Utilisateurs et cliquez sur le nouvel utilisateur.

Remarque : si vous n'avez pas accès à votre téléphone pour le moment, vous pouvez sélectionner l'option de messagerie.

7.Accédez à la section Téléphones et cliquez sur Activer Duo Mobile.

8. Cliquez sur Generate Duo Mobile Activation Code.

9. Sélectionnez E-mail afin de recevoir les instructions par e-mail, tapez votre adresse e-mail et cliquez sur Envoyer les instructions par e-mail.

10. Vous recevez un e-mail contenant les instructions, comme l'illustre l'image.

11. Ouvrez l'application mobile Duo depuis votre appareil mobile et cliquez sur Ajouter, puis sélectionnez Utiliser le code QR et numérisez le code à partir de l'e-mail d'instructions.

12. Un nouvel utilisateur est ajouté à votre application Duo Mobile.

Configuration du proxy d'authentification duo

1.Téléchargez et installez Duo Auth Proxy Manager à partir de https://duo.com/docs/authproxy-reference.

Remarque : sur ce document, le Duo Auth Proxy Manager est installé sur le même serveur Windows qui héberge les services Active Directory. 

2.Sur le panneau d'administration Duo, accédez à Applications et cliquez sur Protéger une application.

3. Dans la barre de recherche, recherchez Cisco ISE Radius.

4. Copiez la clé d'intégration, la clé de sécurité et le nom d'hôte de l'API. Vous avez besoin de ces informations pour la configuration du proxy d'authentification Duo.

5. Exécutez l'application Duo Authentication Proxy Manager et complétez la configuration du client Active Directory et du serveur ISE Radius, puis cliquez sur Valider.

Remarque : si la validation échoue, reportez-vous à l'onglet de débogage pour plus de détails et corrigez-vous en conséquence.

Configurations Cisco ISE

1. Connectez-vous au portail d'administration ISE.

2.Développez l'onglet Cisco ISE et accédez à Administration, puis cliquez sur Ressources réseau et cliquez sur Serveurs RADIUS externes.

3. Sous l'onglet External Radius Servers, cliquez sur Add.

4. Complétez la zone vide avec la configuration RADIUS utilisée dans le Gestionnaire de proxy d'authentification Duo et cliquez sur Soumettre.

5. Accédez à l'onglet Séquences du serveur RADIUS et cliquez sur Ajouter.

6. Spécifiez le nom de la séquence et affectez le nouveau serveur externe RADIUS, cliquez sur Soumettre.

7. Naviguez dans le menu Tableau de bord jusqu'à Stratégie et cliquez sur Jeux de stratégies.

8. Attribuez la séquence RADIUS à la stratégie par défaut.

Remarque : dans ce document, la séquence Duo de toutes les connexions est appliquée, de sorte que la stratégie par défaut est utilisée. L'affectation des stratégies peut varier selon les besoins.

Configuration de Cisco ASA RADIUS/ISE

1. Configurez ISE RADIUS Server sous les groupes de serveurs AAA, accédez à Configuration, puis cliquez sur Device Management et développez la section Users/AAA, sélectionnez AAA Server Groups.

2. Dans le panneau Groupes de serveurs AAA, cliquez sur Ajouter.

3. Sélectionnez le nom du groupe de serveurs et spécifiez RADIUS comme protocole à utiliser, puis cliquez sur Ok.

5. Sélectionnez votre nouveau groupe de serveurs et cliquez sur Ajouter sous Serveurs dans le panneau Groupe sélectionné, comme illustré dans l'image.

6. Dans la fenêtre Edit AAA Server, sélectionnez le nom de l'interface, spécifiez l'adresse IP du serveur ISE et tapez la clé secrète RADIUS, puis cliquez sur Ok.

Note: Toutes ces informations doivent correspondre à celle spécifiée dans le Duo Authentication Proxy Manager.

Configuration CLI.

aaa-server ISE protocol radius
 dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
 key *****

Configuration VPN d'accès à distance Cisco ASA

ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0

group-policy DUO internal
group-policy DUO attributes
 banner value This connection is for DUO authorized users only!
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-agarciam
 address-pools value agarciam-pool

tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
 address-pool agarciam-pool
 authentication-server-group ISE
 default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
 group-alias ISE enable
 dns-group DNS-CISCO

Tester

1. Ouvrez l'application Anyconnect sur votre périphérique PC. Spécifiez le nom d'hôte de la tête de réseau VPN ASA et connectez-vous avec l'utilisateur créé pour l'authentification secondaire Duo, puis cliquez sur OK.

2. Vous avez reçu une notification de diffusion Duo sur l'appareil Duo Mobile de l'utilisateur spécifié.

3. Ouvrez la notification de l'application mobile Duo et cliquez sur Approuver.

4. Acceptez la bannière et la connexion est établie.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Duo Authentication Proxy est fourni avec un outil de débogage qui affiche les raisons des erreurs et des échecs.

Débogues en cours de travail

Remarque : les informations suivantes sont stockées dans C:\Program Files\Duo Security Authentication Proxy\log\connection_tool.log.

1. Problèmes de connectivité, adresse IP incorrecte, nom de domaine complet (FQDN)/nom d'hôte non résoluble sur la configuration Active Directory.

2. Mot de passe incorrect pour l'utilisateur Administrateur sur Active Directory.

Débogages.

3.Domaine de base incorrect.

Débogages.

4. Valeur RADIUS de clé erronée.

Déboguages

5. Vérifiez que le serveur ISE envoie des paquets de demande d'accès.

6. Afin de confirmer que le serveur proxy d'authentification Duo fonctionne, Duo fournit l'outil NTRadPing pour simuler des paquets de demande d'accès et de réponse avec Duo.

     6.1 Installez NTRadPing sur un autre PC et générez du trafic.

Remarque : dans cet exemple, l'ordinateur Windows 10.28.17.3 est utilisé.

     6.2 Configurez avec les attributs utilisés dans la configuration ISE Radius.

     6.3 Configurez le Gestionnaire de proxy d'authentification Duo comme suit.

     6.4. Accédez à votre outil NTRadPing et cliquez sur Envoyer. Vous recevez une notification de transmission duo sur l'appareil mobile affecté.